Microsoft : quatre bulletins de sécurité seulement en janvier

Microsoft a publié hier soir ses nouveaux bulletins de sécurité. Un petit mois de janvier puisque seulement quatre ont été diffusés (deux critiques et deux importants).

Contrairement aux mois précédents qui atteignaient facilement la douzaine ou même la quinzaine de bulletins de sécurité, le mois de janvier est assez calme. Quatre seulement ont été publiés hier soir, parmi lesquels deux critiques : l’un pour Office, l’autre pour le lecteur Flash. Notez d’ailleurs que ce dernier provoque de manière quasi systématique l’apparition d’un bulletin critique mensuel.

Une faille révélée publiquement pour Edge

Contrairement à la plupart des bulletins sur Edge, celui de ce mois-ci ne comporte en outre qu’une seule et unique faille. Estampillée CVE-2017-0002, elle permet sous certaines conditions une élévation de privilèges, permettant à un pirate de récolter certaines information d’un domaine pour les injecter dans un autre. Il n’aurait qu’à mettre en place une page web spécialement conçue. Attention, même si la faille n’est pas critique, elle reste dangereuse, et ce d’autant plus que les détails en ont été révélés publiquement.

Le bulletin critique sur Office ne contient là également qu’une seule faille, spécifique à la version 2016 de la suite (versions 32 et 64 bits). La brèche est liée à une potentielle corruption de la mémoire, permettant en théorie à un pirate de déclencher une exécution arbitraire de code à distance. Comme souvent avec Office, l’exploitation passe par un document spécialement conçu.

Mises à jour cumulatives pour Windows 7, 8.1 et 10

Tous les Windows encore en cours de support peuvent donc récupérer les mises à jour via Windows Update. Pour Windows 7, 8.1 et 10, cela signifie une nouvelle mise à jour cumulative. On rappellera en effet que les deux précédentes versions du système utilisent désormais ce mode de diffusion. Depuis octobre, tous les correctifs sont réunis dans un téléchargement unique. Ceux de janvier intègrent donc les rustines de décembre, novembre et octobre. À compter de mars, Microsoft intègrera petit à petit les anciens correctifs dans les cumuls.

Sous Windows 10, la mise à jour cumulative (KB3213986) contient comme d’habitude un certain nombre d’autres corrections plus générales. La fiabilité de certains composants ou applications est revue à la hausse, notamment pour Groove, App-V, la lecture vidéo et Remote Desktop.

Parmi les problèmes corrigés, on note l’authentification par empreinte digitale qui ne réveillait parfois pas l’écran, un souci qui pouvait empêcher deux périphériques identiques de fonctionner en même temps sur l’ordinateur, un bug bloquant la sélection multiple des certificats dans l’interface, ou encore un autre pouvant empêcher l’appairage d’une smart card avec un lecteur sans contact. La liste complète des corrections est visible depuis la page dédiée à la mise à jour.

Après installation depuis Windows Update, la version du système deviendra 14393.693. Il s’agit de la branche 1607 (juillet 2016) correspondant à l’Anniversary Update, mais les moutures 1511 et 1507, plus anciennes (et bloquées comme telles dans les entreprises) ont également leur téléchargement. Il ne concerne toutefois qu’Edge.