L'ultime Patch Tuesday de l'année 2013 est programmé pour le 10 décembre prochain. Microsoft va publier onze bulletins de sécurité dont cinq critiques pour combler des vulnérabilités d'exécution de code à distance dans Internet Explorer, Windows, Office et Exchange Server.

Microsoft-logo Parmi les produits concernés, toutes les versions d'Internet Explorer tandis que Windows 7, 8 et 8.1 ne feront pas exception. Pour Office, la mise à jour critique sera pour Office 2007 à 2010. À ce stade de préavis, Microsoft n'entre pas dans les détails mais donne quand même quelques indications.

Pour les deux failles 0-day qui ont légitimé la publication d'avis de sécurité le mois dernier en raison d'une divulgation publique et une exploitation dans des attaques, il y aura un patch en bonne et due forme pour une mais pas pour les deux.

La faille que l'on qualifiera de TIFF pour d'anciennes versions de Windows et Office sera complètement corrigée. Ce ne sera pas le cas pour celle dans le composant NDProxy du noyau Windows et exploitée avec Windows XP (conjointement avec un exploit pour Adobe Reader ; pas pour les dernières versions).

Pour cette dernière vulnérabilité, la correction attendra donc vraisemblablement l'année prochaine. Un choix qui n'est pas scandaleux dans la mesure où c'est une vulnérabilité d'élévation de privilège qui ne permet pas d'exécution de code à distance.