Microsoft donne le ton dans son rapport préliminaire : le Patch Tuesday d’octobre 2014 sera chargé.
L’éditeur déploiera, à compter de ce mardi, une salve de correctifs couvrant 9 bulletins de sécurité, dont 3 classés critiques. Une livraison plus importante qu’en septembre (4 bulletins, dont 1 critique) et équivalente à celle du mois d’août (9 bulletins, dont 2 critiques).
Sauf modification de dernière minute, le système d’exploitation Windows, la suite bureautique Office et le navigateur Web Internet Explorer occuperont une place centrale sur la feuille de soins, aux côtés de SharePoint Server et du framework open source ASP.Net MVC, dédié au développement de Web Apps.
Des 9 bulletins recensés, 3 colmatent des brèches dont l’exploitation peut entraîner l’exécution de code à distance. Un redémarrage après installation est nécessaire dans tous les cas, que ce soit sur des postes clients ou des serveurs. Sur les 5 bulletins répertoriés comme « importants », deux ouvrent à une élévation de privilèges permettant à un tiers d’obtenir les droits d’administrateur sur toute session utilisateur. Un autre permet de déjouer une couche de sécurité implémentée dans les outils développeurs.
Dans le détail, le premier bulletin concerne toutes les versions d’Internet Explorer, depuis la 6.0, lancée à l’été 2001. Il est considéré critique sur l’ensemble des systèmes desktop encore supportés par Microsoft (en l’occurrence, de Windows Vista à Windows 8.1) et « d’un risque modéré » côté serveur (de la mouture Server 2003 à la 2012 R2). Il devrait comprendre plusieurs dizaines de correctifs, à l’image du bulletin MS14-052, qui avait résorbé, le mois dernier, 37 vulnérabilités dans Internet Explorer.
Les deux autres bulletins « critiques » affectent toutes les versions de Windows, sans exception. Le 4e sur la liste présente un risque « modéré » sur les versions les plus anciennes (il ne concerne ni Windows 8/8.1/RT, ni Windows Server 2012/2012 R2. Quant au bulletin numéro 7, il englobe toutes les versions de l’OS à l’exception de Windows Server 2003… en revanche seul concerné par le bulletin numéro 5.
La suite Office n’est pas épargnée : le bulletin no 6 touche à la fois les versions 2007 et 2010 sur Windows, l’édition 2011 sur Mac et le SP3 du Compatibility Pack. Même constat pour les Office Web Apps et SharePoint, tous deux en version Server 2010. En fin de liste se trouve le framework ASP.Net MVC (versions 2 à 5.1), concerné par le bulletin no 9.
Comme à l’accoutumée, Microsoft recommande aux administrateurs d’utiliser le logiciel Baseline Security Analyzer (MBSA) pour s’assurer que tous les systèmes locaux et distants bénéficient bien des dernières mises à jour.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?
Crédit photo : Ivelin Radkov – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…