Microsoft : un mardi des rustines monstre

Pour son traditionnel mardi des rustines (Patch Tuesday), Microsoft a dévoilé hier une cuvée particulièrement corsée, avec 14 bulletins de sécurité bouchant pas moins de 34 failles affectant tant Windows, que IE, Office ou Silverlight. Cette livraison estivale est la plus importante jamais effectuée par Microsoft en termes de nombre de bulletins de sécurité émis et égale le record d'octobre 2009 et juin 2010 en termes de nombre de rustines.

Avec 14 failles classées comme critiques (le niveau le plus élevé parmi les quatre proposés par la firme), le premier éditeur mondial s'approche également de son record.

Dans ce déluge de correctifs, certains apparaissent particulièrement sensibles. Comme le MS10-056 qui comble des failles d'Office 2007, notamment l'exploitation de la fonction de prévisualisation des fichiers RTF dans Outlook (via le moteur de Word) comme vecteur d'infection. Ou les patchs MS10-052 et MS10-055 qui comblent des failles relatives à deux codecs de compression/décompression multimédia de Windows. Ou encore les correctifs MS10-049, MS10-051, MS10-053 et MS10-060 concernant IE. Le dernier vient par exemple combler deux failles critiques de Silverlight. Sans oublier le MS10-054, qui vient boucher plusieurs trous (dont un critique) du protocole réseau SMB, déjà exploité par le passé par des vers comme vecteur d'infection des PC. Les machines sous XP SP3 et XP x64 SP2 sont les plus vulnérables. Mais la lacune doit aussi concerner Windows XP SP2, qui ne bénéficie plus du support de l'éditeur (et donc plus de patchs) depuis le mois dernier.

En complément :

- Fin du support de Windows XP SP2 ? Un risque pour la sécurité de 77 % des entreprises

- Windows XP SP2 : un mois avant la retraite, toujours aussi utilisé