Microsoft publie dix bulletins de sécurité pour ce mois d'octobre dont cinq sont marqués critiques. Dans divers produits, il s'agit de corriger un peu moins d'une quarantaine de vulnérabilités au total. Parmi celles-ci, cinq sont 0-day dans la mesure où elles ont été exploitées dans des attaques alors qu'il n'y avait pas encore de correctif disponible.

Microsoft-logo S'il y a eu exploitation dans la nature, il n'y a par contre pas eu de divulgation publique. Ces 0-day sont présentes dans les navigateurs Internet Explorer et Microsoft Edge, des composants de Windows et Microsoft Office pour le traitement de fichiers RTF.

Dans cette poignée de 0-day en sursis, deux sont jugées critiques. La première est relative à une exécution de code à distance due au fait que le moteur de script de Microsoft Edge ne traite pas correctement des objets en mémoire. Pour Windows, la deuxième affecte le composant graphique GDI (Interface des dispositifs d'affichage) avec un scénario d'attaque via le Web par exemple.

Cette seule présence de failles exploitées dans des attaques fait que d'un certain point de vue, tout le Patch Tuesday est critique puisque avec le principe des mises à jour cumulatives qui est étendu au-delà de Windows 10, l'utilisateur ne peut pas opter pour l'application d'une mise à jour en particulier. C'est du tout ou rien.