Microsoft a publié hier soir ses bulletins de sécurité pour le mois de mars, et le moins que l’on puisse dire, c’est qu’ils sont très nombreux. Ils reprennent en effet ceux du mois dernier, qui n’avaient finalement pas été diffusés.
Les utilisateurs pouvaient se douter que les mises à jour cumulatives de ce mois-ci seraient particulièrement copieuses. Sans que l’on sache vraiment pourquoi, l’éditeur avait en effet annulé la diffusion des bulletins de février, les reportant simplement au mois suivant. C’est donc une double cuvée qui attend dans Windows Update, à partir de Vista – dont c’est l’avant-dernier mois de support.
Plus de 160 failles de sécurité corrigées dans les produits supportés
On trouve donc 18 bulletins dont la moitié sont critiques. Comme toujours, chaque bulletin peut représenter un lot de correctifs pour plusieurs failles. Par exemple, le MS17-006 contient les corrections de 12 vulnérabilités dans Internet Explorer, dont une est activement exploitée. L’ensemble du bulletin est donc critique, tout comme pour le MS17-007 visant Edge. Ce dernier compte pas moins de 32 failles corrigées, mais dont aucune n’est actuellement exploitée.
Parmi les autres bulletins critiques, on trouve :
- MS17-008 : 11 failles corrigées dans Hyper-V, aucune exploitée
- MS17-009 : 1 faille corrigée dans la bibliothèque PDF, non exploitée
- MS17-010 : 6 failles corrigées dans le serveur SMB, aucune exploitée
- MS17-011 : 29 corrigées dans Uniscribe, dont aucune exploitée
- MS17-012 : 6 failles corrigées dans Windows (Device Guard, chargement de DLL, DNS…), aucune exploitée
- MS17-013 : 12 failles dans Microsoft Graphics (surtout GDI), dont une activement exploitée
- MS17-023 : une faille dans Flash Player, aucun indice d’exploitation
En tout, les bulletins de mars corrigent plus de 160 failles réparties entre tous les produits couverts activement par Windows Update, c’est-à-dire essentiellement Windows et Office. Rappelons que pour le système d’exploitation, toutes les versions depuis Windows 7 reçoivent chaque mois une mise à jour cumulative contenant tous les correctifs et ceux des mois précédents.
Sous Windows 10, nombreuses autres corrections diverses
Dans le cas de Windows 10 cependant, cette mise à jour contient aussi des correctifs plus généraux, non liés à la sécurité. Comme on peut le voir sur le site réservé à l’historique du système (il faut peut-être passer manuellement la page en anglais), la liste des corrections est vaste et touche surtout à la fiabilisation des composants concernés : rendu 3D, Cluster Service, Active Directory Administrative Center, PowerShell, bande passante des SSD/NVMe pendant les opérations S2D, plantages des Remote Desktop Servers, Windows Server Update Services et ainsi de suite.
Notez que cette liste est spécifique à la version 1607 de Windows 10 et Server 2016, donc aux machines équipées au moins de l’Anniversary Update. Les anciennes branches 1511 et RTM, que certaines entreprises peuvent utiliser, sont également mises à jour, dans la plupart des cas pour reprendre les mêmes corrections. Attention, la branche originale (RTM) ne sera plus maintenue fin mai. Les structures concernées ont donc encore trois mois de correctifs.
La Creators Update le mois prochain
Rappelons enfin que Microsoft prépare actuellement la Creators Update pour Windows 10. Estampillée 1703, elle devrait normalement être distribuée le 11 avril prochain avec le Patch Tuesday suivant, à moins que Microsoft ne choisisse une diffusion hors-cycle pour le grand public. L’éditeur met actuellement les touches finales dans les préversions, avec notamment la 15058 sortie hier soir dans le canal rapide.
