Microsoft a annoncé qu'il publiera 6 mises à jour de sécurité lors du Patch Tuesday, dont trois pour Windows 8 et RT, utilisé par les tablettes Surface. Ces correctifs vont réparer 19 vulnérabilités dans Windows, Internet Explorer et le framework.Net.

Parmi ces mises à jour, 4 sont classées comme critiques, le plus haut niveau dans l'échelle de Microsoft. Elles doivent corriger 13 bugs, dont un nombre inconnu dans Windows Server 2012, Windows 8 et RT. Il s'agit des premiers correctifs de sécurité pour les derniers OS de la firme de Redmond, depuis leur commercialisation le 26 octobre dernier.

Mais Andrew Storm, directeur des opérations de sécurité à nCircle, a minimisé les correctifs pour Windows 8 et RT. « J'aurais été plus inquiet, s'ils n'avaient pas fait les corrections dès le début. Mais nous savons tous que les bugs existent, mais pour les logiciels les plus récents », souligne le spécialiste. Un autre chercheur, Marcus Carey de Rapid7, juge que ces mises à jour « peuvent être une surprise pour ceux qui s'attendaient à ce que Windows 8 soit beaucoup plus sécurisé que les versions précédentes ». Il ajoute « la vérité est que Microsoft et d'autres fournisseurs ont une dette technique significative dans leur base de code et que cela se traduit par des problèmes de sécurité ».

Priorité aux correctifs sur .Net et sur Excel


La mise à jour prévue pour Internet Explorer est dans un des 4 bulletins considérés comme critiques. Elle ciblera une ou plusieurs failles dans IE 9, qui ne fonctionne que sur Windows 7 et Vista. IE 6,7 et 8 ne seront pas patchés, ni IE 10 le navigateur présent sur Windows 8 et RT. Andrew Storms s'interroge sur ce choix « qu'est-ce qu'ils ont ajouté dans IE 9 qui n'existait pas dans les versions antérieures ou alors qu'est-ce qui était mauvais ».  Si ce correctif intrigue l'analyste, il se dit aussi préoccupé par le bulletin numéro 4 qui traite des bugs inconnus dans le framework .net. Marcus Carey est plus radical « il  s'agit de la première priorité pour les entreprises et le grand public, car un pirate pourrait compromettre le système s'ils visitent une page web corrompue ». Pour le bug d'IE 9, Marcus Carey pense qu'il pourrait être utilisé dans une attaque de type « drive by ».

Un correctif qualifié de modéré par Microsoft va patcher 4 failles dans le tableur Excel. Toutes les versions, allant d'Office 2003 à 2010 sur Windows et de 2008 à 2011 sur Mac OS X sont concernées.

Microsoft va publier les six mises à jour le 13 novembre prochain.