Le premier Patch Tuesday de l’année est marqué par quelques changements, mais surtout par un coup de gueule de la part de Microsoft.
Microsoft a livré son premier Patch Tuesday de l’année, soit huit bulletins de sécurité. Alors que la firme de Redmond publiait la préannonce des bulletins de sécurité, l’éditeur réserve désormais ce canal d’alerte à ses clients payants.
Concrètement, le Patch Tuesday de janvier 2015 comprend le bulletin MS15-002 qui corrige la faille critique CVE-2015-0014. Il s’agit d’une faille qui porte sur la saturation de la mémoire tampon de Telnet dans le but de pouvoir exécuter du code à distance, ainsi que quatre autres bulletins classés comme importants.
Hormis le changement dans la préannonce, le fait marquant de ce premier Patch Tuesday de l’année est le coup de gueule lancé par Microsoft.
Le bulletin MS15-004 corrige une vulnérabilité dans des composants Windows TS WebProxy, une faille découverte par des chercheurs de Google dans le cadre du Project Zero. Le problème, c’est qu’ils l’ont publiée avant que Microsoft ne publie le correctif.
C’est en réaction à cela que Chris Betz, de l’équipe Microsoft Security Response Center, a lancé son coup de gueule en déclarant : « Avec tout ce qui se passe, il est temps pour les chercheurs en sécurité et les éditeurs de logiciels de se réunir et non pas de rester divisé sur les stratégies de protection, comme la divulgation des vulnérabilités et leur résolution ».
Alors que l’écart entre la détection, la correction et la divulgation des failles est au centre des débats depuis longtemps, est-ce que ce coup de gueule va servir à quelque chose ?