Le Patch Tuesday de janvier attire l'attention car il ne contient pas de correctifs pour Internet Explorer. Depuis de nombreuses années, presque tous les Patchs Tuesday sont arrivés avec une mise à jour de sécurité pour le navigateur maison qui a longtemps été une des principales cibles des attaques malveillantes.

Toutes les vulnérabilités corrigées par les patchs du mardi 13 janvier 2015 concernent les versions desktop et serveur de Windows, à savoir Vista, Windows 7, Windows 8 et 8.1, et Windows RT, ainsi que Windows Server 2003, 2008 et 2012. Mais dans l'ensemble, c'est un Patch Tuesday mineur, par rapport aux dizaines de bulletins que l'entreprise a parfois publié les mois derniers. L'éditeur de Redmond semble de nouveau alléger un mois sur deux la charge de travail des administrateurs de parcs informatiques.

Deux vulnérabilités classées critiques

On retrouve toutefois une vulnérabilité signalée critique, MS15-004, qui se trouve dans le protocole Telnet utilisé pour établir une connexion entre des ordinateurs distants. Microsoft considère généralement comme critiques les vulnérabilités déjà utilisées par les cyber-criminels pour s'introduire dans les systèmes informatiques. Peu installé sur les postes de travail sous Windows, le protocole Telnet est fréquemment utilisé sur les éditions serveur. Depuis la sortie de Windows Vista, Microsoft a désactivé l'installation par défaut sur les PC.

Les administrateurs doivent également s'intéresser sans attendre au bulletin MS15-004, qui décrit une vulnérabilité dans Windows 8.1. Signalée le 30 septembre dernier à Microsoft par l'équipe Project Zero de Google, cette faille critique est à l'origine d'une polémique entre les deux géants informatiques. Google a en effet affiché les détails de la vulnérabilité après avoir attendu 90 jours que Microsoft publie un correctif. L'éditeur de Redmond a protesté et appelé à davantage de coordination entre les éditeurs puisque une vulnérabilité publique peut être exploitée par un grand nombre de pirates en herbe.

Enfin, rappelons que Microsoft a modifié les conditions de diffusion du bulletin de sécurité avancé (Advance Notification Service) de son Patch Tuesday, le réservant aux seuls clients disposant d'un support Premier.