C'est le mois de décembre et le deuxième mardi de celui-ci vient de passer. Il est synonyme du tout dernier Patch Tuesday de l'année 2014 pour Microsoft. Elle se solde par 86 mises à jour sécurité pour Microsoft, soit moins qu'en 2013 où elles avaient été au nombre de 106. L'année 2014 n'est pas encore terminée et des mises à jour hors cycle demeurent possibles en cas d'urgence.
Dans le cadre de ce rendez-vous mensuel de sécurité, Internet Explorer a particulièrement été sous les feux des projecteurs et l'objet d'une attention particulière par les chercheurs en sécurité. Cela a conduit à un grand nombre de corrections pour ce navigateur. Le comptage réalisé par Qualys est éloquent mais la société de sécurité souligne que cette forte augmentation s'est calmée depuis des modifications apportées au processus d'allocation mémoire dans Internet Explorer.
Reste qu'Internet Explorer a aujourd'hui droit à une mise à jour critique afin de combler quatorze vulnérabilités signalées de manière confidentielle à Microsoft. Le niveau critique concerne IE7 à IE11 sur les versions clientes de Windows.
MS14-080 pour IE apporte plusieurs changements dont au niveau de la manière de gérer les objets dans la mémoire pour un script VBScript (avec IE9 à IE11). Il existe en effet une vulnérabilité dans le moteur de script VBScript mais Internet Explorer sert de vecteur d'attaque. Une autre mise à jour critique (MS14-084) spécifique au moteur de script règle le problème pour les systèmes sur lesquels IE8 - ou version antérieure - est installé.
La troisième et dernière mise à jour critique est MS14-081 pour deux vulnérabilités signalées confidentiellement dans Microsoft Word et Microsoft Office Web Apps. Sont concernés Office 2007 à 2013 ainsi que Office pour Mac 2011.
Au total, le Patch Tuesday de décembre réserve sept mises à jour de sécurité et " chacun trouvera son bonheur " entre Windows, Internet Explorer, Office et Exchange. Il faut ajouter à cela les nouvelles versions de deux mises à jour préalablement diffusées en novembre : pour Internet Explorer et pour Microsoft Secure Channel (en l'occurrence pour Windows Vista et Windows Server 2008).
