Patch Tuesday : IE, Office et Windows corrigés en décembre

Le Patch Tuesday de Microsoft termine l’année 2014 par 7 bulletins dont 3 critiques. Ils portent sur IE, Windows et Office.

Pour conclure l’année 2014, Microsoft prévoit un Patch Tuesday relativement léger pour le mois de décembre. Au total 7 bulletins de sécurité sont attendus la semaine prochaine. Dans sa préannonce, la firme de Redmond a indiqué que 3 des correctifs sont classés comme critiques, c’est-à-dire avec des risques d’exécution de code à distance. Sans surprise non plus, le premier de ces bulletins critiques (le numéro 2) vise Internet Explorer. Le navigateur de Redmond aura été corrigé quasiment tous les mois de cette année 2014. Les versions concernées sont IE7, IE8, IE9, IE10 and IE11 pour Windows Vista, 7 et 8/8.1. L’éditeur indique que la technical Preview de Windows 10 est aussi touchée et invite les utilisateurs à mettre à jour leur produit. Cette version de l’OS embarque un navigateur qui n’a pour l’instant pas de nom, mais devrait sans doute se nommer IE 12.

Les deux autres bulletins de sécurité critiques touchent Windows et Office. Dans le bulletin 6, les correctifs portent sur Windows 7 et Vista, mais pas sur les versions les plus récentes du système d’exploitation. Le bulletin 3 englobe toutes les déclinaisons du traitement de texte, Word, de 2007 jusqu’à 2013, y compris la version 2011 pour Mac. Pour Wolfgang Kandek, CTO de Qualys, « si les bulletins critiques sont à installer en priorité, celui sur Word est intéressant car il touche l’ensemble des éditions et fait rare il s’adresse à la version 2011 pour Mac ».

Office et Exchange en complément

Les autres patchs sont classés comme importants. On notera néanmoins que deux bulletins (4 et 5) corrigent des failles permettant l’exécution de code à distance dans Office. Le bulletin numéro 1 vise Exchange allant des versions Server 2007 jusqu’à 2013. Au final pour Russ Ernst, directeur produit chez Lumension interrogé par nos confrères de ThreatPost, « décembre sera un mois où les responsables sécurité des entreprises vont de focaliser sur le desktop ».

Avec cette fournée de correctifs, Microsoft termine l’année à 83 bulletins de sécurité au compteur contre 105 en 2013. Une baisse qui se confirme dans le nombre de bulletins classés comme critique, 29 en 2014, contre 42 en 2013 et 35 en 2012.

A lire aussi :

Microsoft acquiert Aorato pour renforcer la sécurité d’Active Directory
Sécurité : Trustworthy Computing de Microsoft victime du plan social