Le dernier Patch Tuesday de l'année est un record pour Microsoft avec pas moins de 71 failles corrigées dans Windows (de Vista à 10), Internet Explorer (7 à 11), Edge et Office. L'une d'entre elles est de type « 0-day », c'est-à-dire qu'elle est déjà exploitée.
Comme chaque deuxième mardi du mois, Microsoft propose tout un lot de correctifs pour ses principaux produits. La fournée de décembre est relativement conséquente avec pas moins de douze bulletins de sécurité, dont huit sont jugés critiques.
71 failles de sécurités bouchées pour Windows, IE, Edge et Office
Comme toujours, chaque bulletin peut correspondre à plusieurs brèches. Au total, Microsoft annonce avoir ainsi comblé pas moins de 71 failles, ce qui est un record pour l'année 2015. Les plus hauts niveaux avaient auparavant été enregistrés en juillet, août et septembre avec respectivement 60, 59 et 61 failles de sécurité.
Internet Explorer et le navigateur Edge sont tous les deux concernés par une vulnérabilité pouvant conduire à l'exécution de code à distance. D'autres composants comme JScript, VBScript, le serveur DNS de Windows, Silverlight, Microsoft Office et Microsoft Graphics sont également touchés par le même genre de problème.
Une faille « 0-day » dans le lot
Une vulnérabilité sort du lot : la CVE-2015-6175 du bulletin MS15-135. Il s'agit en effet d'une faille qui touche Windows 10 et qui permet une élévation de privilèges au niveau de la mémoire du noyau. Elle a déjà été dévoilée publiquement et elle est de type « 0-day », ce qui signifie qu'elle était d'ores et déjà exploitée au moment de la publication du correctif.
Dans tous les cas, il est recommandé d'installer ces mises à jour. Pour cela, rendez-vous comme d'habitude dans Windows Update. On rappellera aussi qu'il s'agit probablement de l'avant-dernière mise à jour pour Internet Explorer 7 à 10 puisque leur support prendra fin le 12 janvier 2016, soit le jour du premier Patch Tuesday de 2016.
