Pour le premier Patch Tuesday 2015, Microsoft a donc _publié_
<https://technet.microsoft.com/libra...> 8 bulletins,
dont 1 critique et 7importants, un démarrage classiqueen termes de
volume, mais limité en matière de logiciels. En effet, il n’y a par
exemple aucune mise à jour d’Internet Explorer.

L’un des bulletins parmi les plus importants, _MS15-001_
<https://technet.microsoft.com/libra...> , résout la
vulnérabilité Zero-Day actuellement présente dans Windows 8.1. Désormais
résolue, cette vulnérabilité avait été publiée par l’équipe Project Zero
de Google le 29 décembre dernierdans le cadre de la politique de
divulgation automatique de Google.

En effet, Google donne 90 jours à une entreprise pour résoudre la
vulnérabilité à l’aide d’un patch. Si aucun patch n’est alors disponible
l’information est automatiquement rendue publique.

Ce message provient directement de la base de données des bugs :

_https://code.google.com/p/google-security-research/issues/detail?id=118_.

Microsoft est mécontent de cette divulgation car l’éditeur avait demandé
un report à Google jusqu’à ce Patch Tuesday d’après un _post_
<http://blogs.technet.com/b/msrc/arc...> sur
leur blog. Nous verrons bien quelle est l’issue et il semble qu’il y ait
quelques problèmes de communication à résoudre.

L’un des autres bulletins résout également une vulnérabilité
publiquement connue, _MS15-003_
<https://technet.microsoft.com/libra...> , qui est un
problème dans le service de profil utilisateur Windows qui autorise une
élévation locale de privilèges.

En termes de priorité, nous vous recommandons de commencer par
_MS15-002_ <https://technet.microsoft.com/libra...> ,
une vulnérabilité critique dans le service Telnet de Microsoft. Si vous
exécutez le serveur Microsoft Telnet, il s’agit de la vulnérabilité
prioritaire pour vous ce mois-ci, plus particulièrement si vous êtes
exposés sur Internet. Chez Qualys, nous ne connaissons pas beaucoup
d’utilisateurs de Telnet si bien que cette vulnérabilité devrait être
assez rare. Des statistiques seront communiquées au cours des prochains
mois concernant l’importance de ce bulletin.

Notre autre recommandation est de se préoccuper de la mise à jour Adobe
Flash _APSB15-01_
<http://helpx.adobe.com/security/pro...> qui résout
neuf vulnérabilités critiques qui permettent de prendre le contrôle de
la machine ciblée. Les utilisateurs d’Internet Explorer 10 et 11
bénéficient d’une mise à jour automatique (consulter l’avis de sécurité
2755801 sur
_https://technet.microsoft.com/en-us/library/security/2755801_pour en
savoir plus) tout comme les utilisateurs de Google Chrome, tous les
autres devant télécharger la mise à jour APSB15-01 manuellement. Ceci
vaut aussi pour les utilisateurs sur Mac OS x et Linux.

Nous sommes partagés quant à la priorité suivante : les utilisateurs de
serveurs IAS/NPS devraient consulter le bulletin _MS15-007_
<https://technet.microsoft.com/libra...> qui résout un
problème de déni de service sur la gamme de serveurs Microsoft. Tout un
chacun devrait s’intéresser aux vulnérabilités connues MS15-001 et MS15-003.

En résumé, il s’agit d’un démarrage lent voire classique pour l’année
2015 en matière de sécurité. Nous attendons aussi une mise à jour
logicielle d’Oracle ce mois-ci.Nous vous tiendrons informés dès que nous
aurons plus d’informations.