Comme tous les mois, Microsoft a diffusé un ensemble de correctifs pour ses produits, mais il s’agit cette fois d’un lot étonnamment petit avec seulement trois vulnérabilités corrigées. Si les patchs sont répartis dans quatre bulletins de sécurité, signalons que l'un est dédié à Flash Player, pour lequel Microsoft distribue des correctifs via sa plate-forme Windows Update. « Cela pourrait être le calme avant la tempête », a déclaré Chris Goettl, chef de produit au sein du cabinet de gestion des correctifs Shavlik. « On n'a pas vu un Patch Tuesday de ce type depuis Janvier 2014. Pour le mois prochain, attendez-vous à quelques ajustements et un Patch Tuesday plus lourd, d’autant que Microsoft modifie sa méthode de distribution ».
Le seul bulletin de sécurité critique est le MS17-002 pour Office et Office Web Apps et concerne une vulnérabilité touchant la corruption de la mémoire. Une fois exploitée, elle peut permettre à un attaquant d’envoyer un fichier malveillant sous la forme d’une pièce jointe spécialement conçue pour exécuter un code à distance.
Des correctifs bienvenus puisque les failles sont publiques
Un autre bulletin (CVE-2017-0002) pour Edge, le navigateur de Microsoft, couvre un défaut d'élévation de privilèges qui peut tromper les utilisateurs en affichant une page web spécialement conçue. « Il permet à un attaquant d'accéder aux informations d'un domaine et de les injecter dans un autre pour obtenir des privilèges élevés », indique Amol Sarwate, directeur du Vulnerability Labs de Qualys. Microsoft note ce bulletin comme important et la vulnérabilité a été divulguée publiquement avant la disponibilité du patch.
Le troisième bulletin (CVE-2017-0004) couvre un problème de déni de service dans Windows Vista, Windows 7, Windows Server 2008 et Windows Server 2008 R2. La faille est située dans le Service Authority Subsystem LSASS (Local Security) destiné aux administrateurs. Des demandes d'authentification peuvent être exploitées afin de redémarrer le système. La vulnérabilité LSASS est considérée comme importante, et a été dévoilée publiquement avant la disponibilité du correctif et un exploit (PoC) pourrait bientôt voir le jour.
Une plate-forme accessible depuis une API
Signalons enfin qu’à partir du mois prochain, Microsoft publiera les détails sur les failles et les correctifs sur un nouveau portail appelé Guide des mises à jour de sécurité. Ce dernier donnera aux utilisateurs une plus grande souplesse dans la façon dont ils recherchent et affichent les informations sur les problèmes de sécurité. Par exemple, les utilisateurs seront en mesure de trier et filtrer les données par CVE en fonction de la vulnérabilité, du numéro de l'article, du produit ou la date de sortie. Ils seront même en mesure de filtrer les produits et d’accéder à l'information par le biais d'une API. « Plutôt que de devoir parcourir une liste de documents, cette méthode permettra de trier, rechercher et filtrer la base de données pour y trouver des détails sur un bulletin de sécurité particulier et ses mises à jour associées », assure Amol Sarwate.