Le 12 novembre prochain, Microsoft mettra en ligne huit correctifs pour Windows et Internet Explorer, qui combleront également certains bugs dans sa suite Office. Certains bugs mais pas la faille zero-day découverte cette semaine qui touche Windows, Office et la plate-forme de communication Lync. « Ce pack de patchs ne comprendra pas de mise à jour pour le problème décrit dans la l'alerte 2896666 » a écrit sur son blog Dustin Childs, un porte-parole du Security Response Center de Microsoft (MSRC).
Sur les huit mises à jour annoncées pour le 12 novembre , trois ont été jugées «critiques» par Microsoft , tandis que les cinq autres ont été classées comme « importantes», le niveau deux du système de notation en quatre étapes de l'éditeur. La mise à jour critique qui doit être appliquée dès que possible est celle qui vise toutes les versions d'Internet Explorer (IE) , de la vieille IE6 - qui sera abandonnée en avril prochain avec la fin du support de Windows XP- à la récente IE11 sur Windows 8.1, a déclaré hier un expert en sécurité.
Mise à jour urgente pour IE
Dans une interview à notre confrère Gregg Keizer d'IDG NS, Andrew Storms, directeur des développements chez CloudPassage à San Francisco, a ainsi pointé que Microsoft a patché IE chaque mois de cette année, et, comme l'éditeur le fait habituellement, a recommandé aux utilisateurs de déployer en premier la mise à jour du navigateur. IE est souvent en tête de liste des correctifs en raison de son usage très répandu - près de 6 ordinateurs personnels sur 10 ont utilisé le navigateur de Microsoft en octobre dernier - et du fait que des vulnérabilités critiques puissent généralement être exploitées par des attaques , celles qui sont déclenchées lorsque l'utilisateur charge un web malveillant ou compromis .
Microsoft n'a pas indiqué si IE11 sur Windows 7 était également affecté par le bulletin 1 même si l'entreprise vient juste de proposer son navigateur pour cet OS. Andrew Storms suppose que ce n'est pas un simple oubli, mais que Microsoft a bien intégré le correctif dans le code final d'IE11 avant expédition. La paire de mises à jour critiques restantes viennent patcher toutes les versions encore supportées de Windows , y compris le bientôt retraité Windows XP et le plus récent Windows 8.1.
Microsoft ne livre pas assez d'informations
Andrew Storms estime toutefois que, comme d'habitude, il n'y avait pas assez d'informations sur les bulletins 2 et 3. « Je doute fortement que les lignes de code incriminées dans Windows XP ou Server 2003 se retrouvent dans Windows 8 », a déclaré M. Storms , lorsque notre confrère lui a demandé si les mises à jour de haut en bas pour Windows signifiaient que Microsoft a traîné pendant 12 ans les même lignes de code dans son système d'exploitation. « Le code a été réécrit au fil des ans, mais la même fonctionnalité est toujours là, et c'est là que sera la faille ».
Deux mises à jour pour Office sont également programmées pour la semaine prochaine . Les bulletins 4 et 7 viennent ainsi patcher Office et Outlook. Le bulletin 4 affectera chaque édition de Microsoft Office, y compris Office 2003 , qui sera envoyé à la retraite avec Windows XP , le 8 Avril 2014; Office 2007 , Office 2010 , et le dernier Office 2013 et son rejeton spécifique pour tablette ARM, Office 2013 RT sont également concernés. Office 2013 a été patché à trois reprises depuis ses débuts au janvier dernier.
Un gros patch en décembre ?
« Il semble que Microsoft va devoir remettre son ouvrage sur le métier d'ici un mois », a déclaré M. Storms , se référant à l'arrivé d'un correctif pour la faille zero-day divulguée juste avant l'arrivée de ce Patch Tuesday . Selon Microsoft, cette mise à jour aura une incidence sur toutes les versions de bureau, à l'exception notable d'Office 2013.
En comptant les huit correctifs attendus la semaine prochaine, Microsoft en aura émis 95 cette année, soit déjà 12 de plus qu'en 2012. Un rythme qui va finir par dépasser les 100 mises à jours publiées en 2011 et qui se rapproche donc du record de 106 en 2010.