Microsoft a publié neuf bulletins de sécurité dans le cadre de sa salve de correctifs mensuels à l'occasion de son Patch Tuesday de janvier. Si leur nombre est moins important que d’habitude, ils représentent toutefois un risque important. En effet, six des neuf bulletins sont classés critiques, y compris ceux concernant le noyau Windows et Office. Cette mise à jour 2016 corrige des failles critiques permettant d’exécuter du code à distance dans Windows, Office, Edge, Internet Explorer, Silverlight et Visual Basic. D’autres correctifs réparent des brèches non qualifiées de critiques, mais classées au rang d’important, pouvant permettre l'exécution de code à distance et l’octroi de privilèges dans Windows, de même que l’usurpation d’adresses dans Internet Explorer Au final, les 9 bulletins de sécurité publiés ce mois-ci par l’éditeur corrigent 24 vulnérabilités.
Selon Wolfgang Kandek, CTO de Qualys, MS16-005 est à patcher très rapidement, du moins pour les utilisateurs sous Vista, Windows 7 ou Server 2008. En effet, sur ces systèmes, CVE-2016-0009 déclenche une exécution de code à distance (RCE), et cette vulnérabilité a de plus été divulguée publiquement. Sur les systèmes d’exploitation plus récents, Windows 8 et Windows 10, la faille est non applicable ou juste classée importante. MS16-004 constitue la seconde priorité selon le CTO de Qualys. Ce bulletin résout six vulnérabilités sous Microsoft Office qui permettent aux pirates d’exécuter du code à distance (RCE). Il est classé critique par Microsoft, ce qui peut paraître inhabituel pour un bulletin Office. La vulnérabilité classée critique CVE-2016-0010 est présente dans toutes les versions d’Office, de 2007 à 2016, même sous Mac et RT.
Une faille critique d'exécution à distance
Viennent ensuite Internet Explorer (MS16-001) et Microsoft Edge(MS16-002), classés l’un comme l’autre au rang de critiques puisqu’un pirate peut contrôler la machine visée en exploitant le navigateur via une page web malveillante. Les deux bulletins traitent seulement deux vulnérabilités, ce qui est assez inhabituel, du moins pour Internet Explorer, navigateur pour lequel Microsoft a eu pour habitude de colmater plus de 20 vulnérabilités. MS16-006, dernier bulletin critique, concerne Silverlight et corrige une seule faille . Enfin, MS16-010 est une vulnérabilité présente dans Exchange qui résout quatre failles pouvant provoquer des fuites d’information et l’exécution de script suite à la visualisation d’un e-mail. Il s’agit de la dernière mise à jour de sécurité pour Windows 8 et trois versions d’Internet Explorer (8, 9 et 10)., afin d’inciter les utilisateurs à passer à Windows 8.1, et surtout à Windows 10 ainsi que sur les dernière versions du navigateur IE ou Edge.