Microsoft relativise son Patch Tuesday record

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Microsoft relativise son Patch Tuesday record

Publié le 13 octobre 2010 à 09:33 par Jérôme G.

Lire sur mobile

La firme de Remond livre son imposante fournée de rustines de sécurité. Mais la correction ratisse large et sur les 49 vulnérabilités comblées, seules 6 sont critiques.

C'est le message que tente de faire passer Microsoft. Certes le Patch Tuesday d'octobre 2010 a battu tous les records en nombre de bulletins et de failles à combler, soit respectivement 16 et 49, mais finalement ce record est plus symbolique et n'a pas de réelle valeur.

Les vulnérabilités affectent Windows, Internet Explorer, Microsoft Office et le framework .NET. Microsoft souligne que le nombre de bulletins à destination de Windows ou Office demeure relativement standard. Ce qui fait gonfler les statistiques est la publication de quelques bulletins plus atypiques pour des groupes de produits plus rarement concernés. Microsoft cite à ce titre SharePoint, la bibliothèque MFC ( Microsoft Foundation Class ) et donc le framework .NET.

Surtout, le géant du logiciel insiste sur le fait que sur les 49 vulnérabilités à combler, seules 6 sont affublées du niveau de dangerosité critique. Par ailleurs, trois des bulletins de sécurité comptent pour 34 des vulnérabilités.

En dépit des arguments de Microsoft, reste toutefois cette sensation d'opulence dans le Patch Tuesday d'octobre. Pour aider à s'y retrouver, le géant du logiciel a établi des priorités pour l'action de déploiement en mettant l'accent sur quatre mises à jour :

MS10-071 : une mise à jour cumulative pour Internet Explorer. Pour les failles les plus sérieuses, l'exploitation permet à un attaquant de prendre le contrôle d'un ordinateur via une page Web malveillante. IE8 est affecté par une seule vulnérabilité d'exécution de code à distance et il est à noter que IE9 bêta n'est pas affecté.
MS10-076 : tous les Windows sont concernés par une vulnérabilité d'exécution de code à distance dans le gestionnaire de polices Embedded OpenType ( EOT ).
MS10-077 : à destination de .NET Framework 4.0. Si l'on retrouve de nombreuses éditions de Windows concernées, à noter des exceptions avec les versions 32-bit.
MS10-075 : corrige une faille d'exécution de code à distance ( via un paquet RTSP ; protocole de streaming temps réel ) dans Media Player Network Sharing Service, le service de partage réseau du lecteur Windows Media ( pour un même sous réseau ). Cette faille est critique pour Windows 7 mais importante pour Windows Vista. La fonctionnalité impliquée n'est pas activée par défaut dans plusieurs éditions de Windows 7.

On soulignera aussi que pour la première fois, Office 2010 bénéficie d'une mise à jour de sécurité ( Word 2010 ), tandis que Microsoft continue de fermer les portes au médiatique ver informatique Stuxnet. Un trou reste encore à combler dans une future mise à jour.

Synthèse des bulletins de sécurité Microsoft d'octobre 2010