La firme de Remond a toutefois déjà relativisé ces chiffres, soulignant notamment la prise en charge de produits qui commencent à dater et continuent de bénéficier de correctifs, et une croissance globale du marché des vulnérabilités.
Pour cet ultime mois de 2010, deux bulletins de sécurité sont sortis du lot. Un niveau de dangerosité critique leur est attribué et ils sont à déployer en priorité pour les utilisateurs concernés. MS10-090 est une mise à jour de sécurité cumulative pour Internet Explorer. Elle permet de corriger sept vulnérabilités dont trois révélées publiquement. Les versions 6, 7 et 8 d'Internet Explorer sous tous les Windows ( clients et serveurs ) sont affectées mais pas la version 9 ( bêta ).
Selon Microsoft, les vulnérabilités les plus graves peuvent permettre l'exécution de code à distance si un utilisateur affiche une page Web spécialement conçue à l'aide d'Internet Explorer. La plus critique de toutes les failles IE comblées a été dévoilée début novembre. Gros facteur d'atténuation cependant avec la protection DEP ( Data Execution Prevention ) qui est activée par défaut dans IE8.
MS10-091 est la deuxième mise à jour critique pour trois vulnérabilités dans le pilote Open Type Font de Windows. Toutes les éditions de Windows sont affectées mais le niveau critique ne vaut que pour Windows Vista et Windows 7 ( et leurs pendants serveurs ). Les failles ont été signalées confidentiellement et ne font selon Microsoft pas l'objet d'attaques.
" Un attaquant pourrait héberger une police OpenType spécialement conçue sur un partage réseau. Le chemin d'accès au contrôle affecté est ensuite déclenché lorsque l'utilisateur navigue jusqu'au partage dans l'Explorateur Windows, permettant à la police spécialement conçue de prendre le contrôle intégral d'un système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges ", explique Microsoft.
On notera également que Microsoft a comblé la quatrième et toute dernière faille en relation avec le ver Stuxnet. Les autres bulletins de sécurité, qui ne sont pas critiques, s'adressent à Windows, Office, IE, SharePoint et Exchange.
