Le Patch Tuesday publié mardi dernier par Microsoft apporte quelques correctifs à Windows 8 Consumer Preview.
Ces mises à jour intègrent 8 correctifs pour des bugs dans l’OS. Le premier concerne une mise à jour de compatibilité des applications. Le second corrige un problème dans « Broker Infrastructure Service », pouvant conduire au ralentissement des connexions. Un Patch corrige deux bugs dans IE10, pouvant conduire à une fuite de mémoire.
Les autres correctifs améliorent la précision du suivi des performances du Windows Store, corrigent un bogue dans Windows pouvant entrainer l’arrêt du fonctionnement d’une application du Windows Store, un problème dans le Shell Windows pouvant entrainer un dysfonctionnement des tuiles et la suppression du message d’erreur bidon "Copy Prohibited" dans Windows Media Center.
En dehors de la faille dans IE10, aucun de ces correctifs n’apporte une mise à jour de sécurité. L’installation de ces mises à jour se fera via Windows Update.
Pour les installer, il suffit d'ouvrir Windows Update dans le panneau de configuration, sectionner Rechercher, ensuite sur Réglage. Dans la fenêtre de recherche, saisir Windows Update et cliquer enfin sur Installer les mises à jour facultatives.
Source : KB 2680358, KB 2680354, KB 2680328, KB 2683430
Maj de Hinault Romaric
Microsoft publie le Patch Tuesday du mois de mars, qui corrige sept failles de sécurité
Le dernier Patch Tuesday du premier trimestre 2012 comporte six bulletins (du MS12-017 au MS12-022) qui corrigent sept vulnérabilités. Le MS12-020 est le seul bulletin qualifié de "critique" par l'éditeur (contre quatre le mois dernier) et vise à corriger les systèmes Microsoft Windows (XP, Server 2003, Vista, Server 2008, 7 et Server 2008 R2). Trois autres bulletins (deux qualifiés d'"importants" et un de "modéré" concernent ces systèmes.
Enfin, les deux derniers bulletins sont jugés "importants" et impactent Microsoft Visual Studio (suite de logiciels de développement) et Microsoft Experssion Design (outil de création et d'illustration professionnel).
Les différentes failles permettent de prendre le contrôle d'un système à distance, l'élévation de privilèges ou encore de provoquer un déni de service.
L'application des mises à jour de sécurité est primordiale, pour exemple, le code d'exploitation de la vulnérabilité CVE-2012-0754, une des failles corrigées par Adobe le 5 mars 2012 sur Flash Player (APSB12-05) est déjà disponible sous la forme d'un code Ruby intégrable au framework Metasploit.
Dernier point d'attention, les produits suivants ne seront plus supportés à partir du 10 avril 2012 :
- Dynamics SL 7.0 Service Pack 2 ;
- Vista Home ;
- APP-V 4.6 for TSE Service Pack 0 (version RTM) ;
- Visual Studio 2010 Service Pack 0 (version RTM).
Il est donc important de pour les utilisateurs de ces logiciels de prévoir une migration rapide afin de disposer de produits supportés.
Références CVE des bulletins de mars
CVE-2012-0002, CVE-2012-0006, CVE-2012-0008, CVE-2012-0016, CVE-2012-0152, CVE-2012-0157 et CVE-2012-0157.
Sources
Bulletin Microsoft du mois de mars
Cycle de vie des produits Microsoft
Bulletin de sécurité de Flash Player de mars
Vulnérabilité CVE-2012-0754 au sein de Flash Player
Module Metasploit exploitant le CVE-2012-0754