Microsoft a donc publié ses prévisions de bulletins de sécurité pour le mois d’octobre. Il s’agit de la première annonce depuis la décision de la firme américaine de fermer le groupe Trustworthy Computing à l’origine des Patch Tuesday.
La livraison du mois d’octobre est relativement bien fournie avec neuf bulletins de sécurité. Trois sont classés comme critique, c’est-à-dire le plus haut niveau de qualification dans l’échelle de Microsoft avec le risque d’exécution de code à distance. Sans surprise et pour le neuvième mois consécutif, un des correctifs critiques affecte Internet Explorer sur l’ensemble des versions (6,7,8,9, 10 et 11). Pour Wolfgang Kandek, CTO de Qualys, « ce patch sera à mettre en tête de liste des priorités pour les entreprises et même pour le grand public ».
Les bulletins 2 et 3 touchent l’ensemble des versions de Windows. Wolfgang Kandek assure que le second patch est à placer en priorité notamment pour les entreprises disposant d’un environnement .Net Framework. Sur les correctifs numéro 3, le responsable sécurité soupçonne la présence d’une vulnérabilité dans les libraires graphiques ou médias.
Dans sa notification préalable, on notera la présence d’un bulletin classé comme modéré, soit le troisième échelon du classement de Microsoft. Il est en général peu utilisé et nécessite un accès local ou une authentification. Il corrige une faille facilitant l’élévation de privilèges dans Office 2007 SP3 IME (pour Input Method Editor) qui prend en compte certains caractères spéciaux comme le japonais.
Les cinq derniers packs de correctifs sont classés comme importants. Deux portent sur une exécution de code à distance pour Windows, Office, Office Services et Office Web Apps. Deux s’adressent à des élévations de privilèges dans Windows. Et enfin, le dernier colmate un contournement des fonctions de sécurité dans des outils pour les développeurs, comme ASP.NET MVC 2.0, 3.0, 4.0, 5.0 et 5.1
A lire aussi :
Données Cloud hors US : Microsoft passible d’outrage au tribunal
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…