Chaque mois, Shavlik nous livre en exclusivité son analyse du Patch Tuesday. Le Patch Tuesday de janvier 2017 entame la nouvelle année de correctifs avec un nombre « gérable » de mises à jour. Peut-être le calme avant la tempête… Il n’y a pas eu de Patch si succinct depuis janvier 2014. Il faudra s’attendre à des ajustements le mois prochain et à un Patch Tuesday plus lourd.
Adobe a publié la mise à jour APSB17-01 pour Acrobat et Reader, dans la continuité de son modèle de publication : une mise à jour tous les deux ou trois mois. Cette mise à jour inclut 29 vulnérabilités, dont la plupart autorisent l’exécution de code à distance. Vous devez vous assurer que cette mise à jour est appliquée dès que possible.
Comme prévu, il y a une mise à jour Flash Player. Comme toujours pour les mises à jour Flash Player, vous devez veiller à mettre à jour toutes les instances de Flash sur vos systèmes, y compris les plug-ins Flash pour IE, Chrome et Firefox. Certains de ces éléments vont se mettre à jour automatiquement, mais vous devrez manœuvrer davantage pour mettre à jour les autres. C’est pourquoi il est essentiel de disposer d’une solution capable de rechercher les 4 variantes du produit, afin de vous assurer que vous avez corrigé toutes les vulnérabilités de votre environnement.
Microsoft a publié un total de 4 bulletins, dont 2 sont critiques et correspondent à des divulgations publiques. Microsoft résout 15 vulnérabilités uniques ce mois-ci, dont 12 proviennent de la mise à jour Adobe Flash. Il est intéressant de noter qu’il n’y a pas de déploiement pour Windows 8.1 ou Server 2012 ce mois-ci.
À part Microsoft et Adobe, quelques autres mises à jour sont disponibles si vous utilisez Foxit Reader, Skype, etc. Bien que plusieurs des vulnérabilités Microsoft aient été divulguées publiquement, aucune n’a été exploitée et il n’y a pas d’attaque « zero day ».
Nous n’avons pas eu de Patch si succinct depuis janvier 2014. Il faut s’attendre à des ajustements le mois prochain et à un Patch Tuesday plus lourd, puisque Microsoft change de méthodologie. C’était la dernière fois que Microsoft utilisait des bulletins de sécurité pour le Patch Tuesday. Depuis le 10 janvier, Microsoft ne publie plus de bulletin de sécurité traditionnel, c’est-à-dire des pages Web séparées. À la place, il publiera uniquement des informations de mise à jour de la sécurité dans le nouveau Security Update Guide (Guide de mise à jour de la sécurité). Si vous vous posez de nombreuses questions sur ce que cela signifie et sur la façon dont chacun va être affecté, lisez les FAQ compilées par Microsoft. Le lien ici.