Les quatre derniers Patch Tuesday de 2018 avaient été marqués par la correction de 0day exploitées dans la nature. Ce n'est pas le cas pour le premier Patch Tuesday de 2019 via lequel Microsoft corrige près d'une cinquantaine de vulnérabilités de sécurité pour divers de ses produits.

patch Parmi ces vulnérabilités, sept sont jugées critiques, dont trois pour le moteur JavaScript ChakraCore de Microsoft Edge, une pour Microsoft Edge directement, deux pour le système de virtualisation Hyper-V et une pour le client Windows DHCP.

Du côté des curiosités, on notera la correction d'une vulnérabilité dans Skype pour Android permettant à un attaquant de contourner le verrouillage d'écran et d'accéder aux données personnelles sur un appareil. Une exploitation impliquerait simplement de répondre à un appel Skype vers le périphérique.

Microsoft souligne une vulnérabilité (non critique) d'élévation de privilèges nécessitant un accès physique au smartphone. À souligner également une vulnérabilité de type divulgation d'informations affectant Windows Subsystem for Linux. Certes, elle n'est pas critique, mais ce n'est pas la première fois que le sous-système Linux pour Windows est touché par des failles.

De quoi représenter un risque en augmentant la surface d'attaque via cette couche de compatibilité pour l'exécution d'outils Linux sur Windows 10 ?

Un récapitulatif des vulnérabilités corrigées par Microsoft pour ce premier mois de 2019 est proposé par Zero Day Initiative et sur l'Internet Storm Center du SANS Technology Institute.