Le premier Patch Tuesday de Microsoft pour l'année 2013 comportera 7 mises à jour de sécurité dont une est classée comme critique pour Windows 8 et Windows 8 RT. Elles vont également corriger 12 vulnérabilités dans Windows, Office, SharePoint Server et des logiciels de développement. Par ailleurs, la firme de Redmond a alerté ses clients sur l'utilisation par des pirates de certificats obtenus frauduleusement auprès d'une autorité de certification turc, TurkTrust. Microsoft indique que ce certificat a été révoqué et pousse les utilisateurs à appliquer une mise à jour de juin 2012 qui automatise le processus de dé-certification.
On constate aussi que dans la notification préalable de Microsoft rien n'évoque la faille zéro day dans IE et utilisée par des pirates depuis le 7 décembre. La firme a refusé de faire des commentaires sur le calendrier pour un correctif. Dans un communiqué Dustin Childs, responsable du groupe de sécurité de Microsoft, explique que le groupe a trouvé peu d'attaques exploitant le bug d'IE, « nous avons constaté qu'un nombre limité de clients ont été touchés ». Pour mémoire, ce bug d'IE affecte les versons 6, 7 et 8 sorties entre 2006 et 2009. Cette faille n'existe pas dans IE 9 et 10.
Andrew Storms, directeur des opérations chez nCircle Security est clairvoyant « je ne m'attendais pas à ce qu'un patch soit prêt rapidement et je ne pense pas qu'ils vont publier un correctif en dehors du calendrier classique à ce stade, à moins que les attaques deviennent plus importantes et nombreuses ». En référence au calendrier, il faudrait alors attendre le 12 février prochain pour avoir un correctif de la faille d'IE.
Une mise à jour critique qui touche plusieurs produits
Pour revenir au Patch Tuesday de la semaine prochaine, 7 mises à jour de sécurité sont émises pour corriger 12 failles. Deux bulletins sont classés comme critiques et le reste est qualifié d'important. Pour les spécialistes de la sécurité, le bulletin numéro 2 est le plus intriguant. Pour Andrew Storm, « c'est de loin le plus intéressant, car il ne touche pas uniquement la brique OS, mais s'applique à Office, à SharePoint et aux outils pour les développeurs ». Il ajoute, « pour affecter autant de produit, il faut que cela touche quelque chose au coeur de Microsoft, comme le GDI (Graphic Device Interface) ou XML ».
Wolfgang Kandek, CTO de Qualys, et Paul Henry de Lumension soulignent aussi l'importance ce bulletin. La mise à jour numéro 2, classée comme critique, s'applique à toutes les versions de Windows, depuis XP à Windows 8 et RT mais aussi de Server 2008 à 2012. Elle a également un impact sur Office 2003 jusqu'à Office 2007 pour Windows, Expression Web, une partie de la suite de l'Expression Studio Web, SharePoint Server 2007, Groove Server 2007 et System Center Operations Manager 2007.
Andrew Storm qualifie les autres mises à jour comme « pas très intéressantes ». Un avis non partagé par d'autres spécialistes, comme Alex Horan, chef de produit chez Core Security, « le bulletin 5 peut devenir critique, car il cible Vista Service Pack 2, Server 2008 et Windows 7. Il concerne une base importante de clients ». Il constate que Windows XP n'est pas concerné par cette mise à jour, mais précise que Windows 8 et RT ont été corrigé il y a deux mois. Selon NetApplications, Vista, Windows 7 et 8 représentent 57% des OS installés sur les PC.
Patch Tuesday janvier 2013 : une édition très légèrement critique
Dans sa livraison mensuelle de correctifs de sécurité, Microsoft a émis 7 mises à jour dont une est classée comme critique. Par ailleurs, la firme alerte ses clients sur la révocation d'un certificat volé à une autorité de certification turque.