Microsoft Patch Tuesday : belle pêche aux brèches en novembre

Qui veut un Patch Tuesday dense pour le mois de novembre ? Microsoft a diffusé pas moins de 14 bulletins de sécurité corrigeant 33 failles dans ses familles de produits et services : quatre bulletins sont jugés « critiques », 8 présentés comme « important » et les derniers sont perçus comme des sonnettes d’alarme « modérées ».

Sur les quatre bulletins critiques, le numéro MS14-064 permet de réparer la faille OLE dans Windows signalés fin octobre à travers Office. On répare également d’un coup un lot de 17 failles dans le navigateur Internet Explorer. L’update de sécurité permet également de colmater une brèche dans Microsoft Secure Channel (Schannel) associé au package sécurité de Windows (c’est important car il supporte SSL/TLS pour Windows). A mi-chemin entre Windows et Internet Explorer, un correctif est apporté à Microsoft XML Core Services (MSXML).

Mais, avec la livraison globale de ce Patch Tuesday à consulter ici, toutes les grandes familles de solutions Microsoft sont concernées de manière plus ou moins importante : Windows, Internet Explorer, Office, framework .NET…

Les experts en sécurité IT de la division X-Force d’IBM ont même déniché une faille dans Microsoft Windows qui remonte…à Windows 95. Ils ont transmis les éléments à Microsoft en mai dernier. Autant dire qu’un élément suspect a survécu dans le code Windows pendant 19 ans, à en croire une contribution en date du 11 novembre sur le blog X-Force.

Cette vulnérabilité pouvait être exploitée à distance via Internet Explorer 3.0 afin de mener des attaques du type drive by attack. Ou comment infecter un PC d’un internaute en s’appuyant sur un site Web favorisant à son insu la propagation d’un bout de code malveillant. Néanmoins, IBM n’a pas trouvé la trace d’une exploitation de cette faille de sécurité. Juste un proof of concept après tant d’années ?

—
Quiz : Vous cherchez la 4G autour de vous ? On vous aide
—

Crédit photo : Shutterstock.com –  Droit d’auteur : Catalin Petolea