Microsoft patch tuesday: un bulletin de sécurité allégé en novembre

Comme tous les deuxièmes mardis du mois (ou presque), Microsoft livrera son fameux «patch tuesday» de novembre mardi prochain. Un bulletin mensuel de sécurité sans commune mesure avec celui d’octobre qui corrigeait 49 vulnérabilités. En novembre, seul trois bulletins sont proposés: un classé comme «critique» et deux jugés «important».

Au total, «seulement» une douzaine de vulnérabilités sont référencées dans le bulletin. Elles touchent essentiellement la suite Office pour Windows dans ses différentes versions depuis XP à 2010. Le récent Office for Mac 2011 est également concerné par les correctifs. Tout comme la solution de sécurité pour entreprise Forefront Unified Access Gateway 2010 victime d’une faille «importante». A noter que, fait rare, Windows n’est pas concerné par les correctifs de novembre.

Selon la description fournie dans le pre-patch tuesday, les failles critiques et importantes permettent l’exécution à distance de code sur la machine affectée. La différence entre les deux tient probablement dans le fait que l’exécution de code nécessite une interaction de l’utilisateur dans le cas des vulnérabilités «importantes» alors que l’attaque risque de se faire à son insu dans les cas «critiques».

En revanche, aucune nouvelle d’un correctif visant à combler la faille «0 day» exploitée sur Internet Explorer. Jugée critique, elle permet l’exécution de code distant sur la plate-forme victime. Malgré l’urgence de la situation, la faille ne serait que peu exploitée. L’éditeur de Redmond en profiterait alors pour prendre le temps de peaufiner sa réponse. Néanmoins, Microsoft se réserve la possibilité de modifier à la dernière minute le contenu de son bulletin de sécurité. Réponse mardi 9 novembre.