Microsoft Patch Tuesday : une grosse commission pour octobre

Cloud
microsoft-patch-tuesday-octobre-2014

Internet Explorer et la suite Office sont au cœur du Patch Tuesday d’octobre 2014, qui devrait, sauf modification de dernière minute, comprendre 9 bulletins de sécurité, dont 3 critiques.

Microsoft donne le ton dans son rapport préliminaire : le Patch Tuesday d’octobre 2014 sera chargé.

L’éditeur déploiera, à compter de ce mardi, une salve de correctifs couvrant 9 bulletins de sécurité, dont 3 classés critiques. Une livraison plus importante qu’en septembre (4 bulletins, dont 1 critique) et équivalente à celle du mois d’août (9 bulletins, dont 2 critiques).

Sauf modification de dernière minute, le système d’exploitation Windows, la suite bureautique Office et le navigateur Web Internet Explorer occuperont une place centrale sur la feuille de soins, aux côtés de SharePoint Server et du framework open source ASP.Net MVC, dédié au développement de Web Apps.

Des 9 bulletins recensés, 3 colmatent des brèches dont l’exploitation peut entraîner l’exécution de code à distance. Un redémarrage après installation est nécessaire dans tous les cas, que ce soit sur des postes clients ou des serveurs. Sur les 5 bulletins répertoriés comme “importants”, deux ouvrent à une élévation de privilèges permettant à un tiers d’obtenir les droits d’administrateur sur toute session utilisateur. Un autre permet de déjouer une couche de sécurité implémentée dans les outils développeurs.

Dans le détail, le premier bulletin concerne toutes les versions d’Internet Explorer, depuis la 6.0, lancée à l’été 2001. Il est considéré critique sur l’ensemble des systèmes desktop encore supportés par Microsoft (en l’occurrence, de Windows Vista à Windows 8.1) et “d’un risque modéré” côté serveur (de la mouture Server 2003 à la 2012 R2). Il devrait comprendre plusieurs dizaines de correctifs, à l’image du bulletin MS14-052, qui avait résorbé, le mois dernier, 37 vulnérabilités dans Internet Explorer.

Les deux autres bulletins “critiques” affectent toutes les versions de Windows, sans exception. Le 4e sur la liste présente un risque “modéré” sur les versions les plus anciennes (il ne concerne ni Windows 8/8.1/RT, ni Windows Server 2012/2012 R2. Quant au bulletin numéro 7, il englobe toutes les versions de l’OS à l’exception de Windows Server 2003… en revanche seul concerné par le bulletin numéro 5.

La suite Office n’est pas épargnée : le bulletin no 6 touche à la fois les versions 2007 et 2010 sur Windows, l’édition 2011 sur Mac et le SP3 du Compatibility Pack. Même constat pour les Office Web Apps et SharePoint, tous deux en version Server 2010. En fin de liste se trouve le framework ASP.Net MVC (versions 2 à 5.1), concerné par le bulletin no 9.

Comme à l’accoutumée, Microsoft recommande aux administrateurs d’utiliser le logiciel Baseline Security Analyzer (MBSA) pour s’assurer que tous les systèmes locaux et distants bénéficient bien des dernières mises à jour.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?

Crédit photo : Ivelin Radkov – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur