Patch Tuesday : Microsoft frôle les records en novembre
Sauf modification de dernière minute, le Patch Tuesday de novembre 2014 sera d’une ampleur sans précédent depuis plus de trois ans, avec 16 bulletins de sécurité.
La livraison d’octobre avait été volumineuse ; elle le sera encore plus ce mois-ci : avec 16 bulletins de sécurité, le Patch Tuesday de novembre 2014 est d’une ampleur sans précédent depuis plus de trois ans (il faut remonter à avril 2011 pour retrouver une telle densité de correctifs).
Les experts s’accordent sur la lourdeur de la fiche de soins, sur laquelle figurent notamment le système d’exploitation Windows, la suite bureautique Office, le navigateur Web Internet Explorer, le serveur de messagerie Exchange et l’environnement collaboratif SharePoint.
Des 16 bulletins de sécurité, 5 sont classés critiques. En fonction de l’OS et de la plate-forme, leur installation peut requérir un redémarrage… et donc rendre des systèmes temporairement indisponibles. Un impact que devront jauger les administrateurs informatiques, essentiellement côté serveur.
Six bulletins (1 « critique » ; 5 « importants ») corrigent des vulnérabilités permettant une élévation de privilèges sur des sessions ne disposant pas des droits d’administrateur. Certains permettent aussi de déjouer une couche de sécurité implémentée dans les outils développeurs. D’autres résorbent des failles qui ouvrent à une élévation de privilèges permettant à un tiers d’obtenir les droits d’administrateur sur toute session utilisateur. C’est le cas du premier bulletin, qui englobe toutes les versions de Windows, à partir de Windows Server 2003 Service Pack 2 (sur serveur) et Vista Service Pack 2 (sur desktop).
Même constat pour le deuxième bulletin, qui concerne toutes les moutures encore supportées d’Internet Explorer (de la 6 à la 11), avec un degré d’importance variable selon les OS : modéré sur serveur, critique sur desktop. Microsoft ne précise pas le nombre exact de brèches colmatées dans son navigateur. La moyenne mensuelle depuis le début de l’année se situe autour de 30, avec un pic à 60 au mois de juin.
Pour trouver trace de la suite Office, il faut se reporter au bulletin numéro 6, dédié à Word en version 2007 SP3 ainsi qu’à sa visionneuse Word Viewer. Ou encore au bulletin numéro 15, qui concerne l’insertion de caractères japonais (Microsoft Office Input Method Editor – Japanese). Déjà concerné au plus haut point en octobre, SharePoint Server 2010 bénéficie à nouveau d’un correctif à travers le bulletin 10. Exchange Server (2007, 2010 et 2013) également.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien Microsoft ?