Comme prévu, Microsoft livre pour ce mois de novembre un Patch Tuesday comprenant 8 bulletins de sécurité pour un total de 19 vulnérabilités à corriger dans Windows, Internet Explorer et Office. Trois des bulletins sont classés critiques et c'est logiquement pour ceux-ci que le déploiement est jugé prioritaire.

MS13-090 s'adresse à Internet Explorer, soit de IE6 à IE11, et pour l'ensemble des éditions de Windows. La mise à jour corrige une vulnérabilité dans le contrôle ActiveX InformationCardSigninHelper Class. En guise de correction, c'est en réalité un killbit et donc une désactivation de l'ActiveX dans la base de registre de Windows.

Patch-Tuesday-novembre-2013 C'est cette vulnérabilité qui a fait l'objet d'attaques ciblées selon un rapport de FireEye. Le code exploit est désormais facile à trouver d'où une mise à jour à appliquer sans tarder. À noter que des attaquants ont utilisé une deuxième divulgation publique de vulnérabilité en association avec la faille ActiveX. Microsoft étudie la situation.

MS13-088 est une mise à jour cumulative pour Internet Explorer qui comble une dizaine de vulnérabilités rapportées de manière confidentielle à Microsoft. Elles peuvent permettre une exécution de code à distance suite à la consultation d'un site Web malveillant.

On remarquera que IE11 pour Windows 7 fait exception à la correction. Cette version a été mise en ligne la semaine dernière par Microsoft et contient manifestement déjà le nécessaire en matière de patchs de sécurité.

Le dernier bulletin critique est MS13-089. Il s'adresse à toutes les versions de Windows pour une vulnérabilité signalée confidentiellement. Elle est présente dans l'interface GDI ( Graphics Device Interface ) et déclenchée lors de l'ouverture d'un fichier malformé à l'extension peu commune .WRI ( Microsoft Write ) dans Wordpad. C'est plus précisément une vulnérabilité dans la conversion des images BMP / WMF qui est corrigée.

Le Patch Tuesday de Microsoft est à associer avec une mise à jour de sécurité pour Flash Player pour deux vulnérabilités. Pour IE10 et IE11 sur Windows 8 et Windows 8.1, la mise à jour est gérée par Windows Update dans la mesure où ces navigateurs disposent d'un composant Flash Player intégré. C'est aussi le cas de Google Chrome.

Sinon, pour les autres versions d'Internet Explorer et d'autres navigateurs comme Firefox, la mise à jour est à récupérer sur le site d'Adobe. Comme à l'accoutumée, il est possible de connaître sa version de Flash Player installée en se rendant sur cette page.