Patch-Tuesday-novembre-2010-deploiement Suggéré lors de la publication du préavis, le contenu du Patch Tuesday de novembre 2010 est désormais confirmé. Comme prévu, il est léger et ce d'autant qu'il succède à une fournée record de correctifs en octobre. Au programme, trois bulletins de sécurité afin de combler un total de 11 vulnérabilités.

Pas de Windows ou même d'Internet Explorer qui pourtant est concerné par une faille 0-day, les corrections s'adressent à Microsoft Office, PowerPoint et Forefront Unified Access Gateway ( UAG ), la plateforme d'accès à distance de type VPN pour les entreprises. Un bulletin est marqué critique et les deux autres importants.

La mise à jour MS10-087 corrige cinq vulnérabilités. Sont concernés à des degrés divers Office XP, 2003, 2007 et 2010, ainsi que Office 2004, 2008 et 2011 pour Mac. L'indice de gravité critique vaut pour Office 2007 et 2010 ( une première ). Il fait référence à une vulnérabilité d'exécution de code à distance lors de l'ouverture ou la prévisualisation dans Outlook d'un e-mail RTF spécialement conçu. L'exploitation ne nécessite aucune interaction particulière de la part de l'utilisateur.

On notera également que MS10-087 intègre la première correction liée à la faille dite de détournement de chargement DLL qui avait fait parler d'elle l'été dernier. Cette faille est en relation avec la manière dont Windows traite les fichiers DLL et a déjà conduit à de nombreuses mises à jour d'applications ( Firefox, Opera, iTunes, VLC media player... ).

La mise à jour MS10-088 corrige deux vulnérabilités dans la version de PowerPoint présente dans Office XP, 2003 et 2004 ( Mac ), et quatre vulnérabilités dans le composant Forefront UAG pour MS10-089. Pour UAG, la mise à jour est disponible via le centre de téléchargement mais n'est pas délivrée par Windows Update ou Microsoft Update.