Microsoft publie le Patch Tuesday du mois de janvier, qui corrige huit failles
Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique.
Le premier Patch Tuesday de 2012 comporte sept bulletins qui corrigent huit vulnérabilités. Un seul est jugé critique, les six autres importants. Toutes les versions des systèmes d'exploitation de la firme de Redmond sont concernées ainsi que Microsoft Developper Tolls and Software.
Les différentes failles permettent l'exécution de code arbitraire à distance, le contournement de fonctionnalités de sécurité, l'élévation de privilèges et la divulgation d’informations.
Lors du mois de décembre Microsoft a dérogé à la règle en publiant un bulletin de sécurité fin décembre : le MS11-100. Ce patch, qualifié de critique par l'éditeur, corrige quatre vulnérabilités dans Microsoft .NET qui permettaient :
- l'élévation de privilèges à distance ;
- un déni de service ;
- une redirection de l'utilisateur vers un site arbitraire.
Ce bulletin fait suite à la présentation lors de la 28e conférence du Chaos Communication Congress, d'une attaque nommée HashDOS qui permet via l'envoi de requêtes très longues, de provoquer un déni de service sur un site web. Il s'agit d'un défaut de conception présent dans la plupart des langages Web (PHP, Ruby, ASP.NET, Python, Java, etc.).
Autre actualité, plus récente, les mises à jour des Windows Phone seront désormais poussées au bon vouloir des opérateurs. Cette annonce faite sur le blog de Windows Phone a immédiatement entrainé de nombreuses critiques de la communauté. Celle-ci craint de se retrouver avec un parc très fragmenté et peu mis à jour comme l'est actuellement le parc d'Android, l'OS mobile de Google.
Dernière nouveauté, les produits suivants ne seront plus supportés à partir du 10 janvier 2012 :
- SQL Server 2005 Service Pack 3 ;
- Dynamics AX 3.0 ;
- Host Integration Server 2000 ;
- Content Management Server 2001.
Les prochains Patch Tuesday ne corrigeront donc plus d'éventuelles vulnérabilités affectant ces produits.
Références CVE
CVE-2011-3389, CVE-2012-0001, CVE-2012-0003, CVE-2012-0004, CVE-2012-0005, CVE-2012-0007, CVE-2012-0009 et CVE-2012-0013
Références
Patch du mois de novembre
Patch du mois de décembre
Patch MS11-100
Présentation faite lors de la 28e conférence du Chaos Communication Congress
Sources
Bulletin Microsoft MS11-100
Bulletin Microsoft du mois de janvier
Nouvelle gestion des mises à jour de Windows Phone
Cycle de vie des produits Microsoft
Partager