Les 12 mises à jour de sécurité du prochain « Patch Tuesday » viendront réparer 22 failles, principalement dans le navigateur Internet Explorer (IE), le système d'exploitation Windows et Internet Information Server (IIS), le serveur web de Microsoft. A cette occasion, l'éditeur fournira des « patches » pour trois bugs identifiés par les utilisateurs et reconnus par l'éditeur, l'un d'eux étant exploité depuis plusieurs semaines par des pirates. « Les trois bugs zéro-days vont être corrigées, c'est l'information importante », souligne Andrew Storms, directeur des opérations de sécurité de nCircle Security.

L'une de ces failles a été détectée dans Internet Explorer, une autre concerne l'affichage des vignettes dans Windows et la troisième se loge dans le serveur web IIS. L'éditeur a reconnu la première d'entre elles le 22 décembre, quelques semaines après une alerte de la société française Vupen prévenant que toutes les versions d'IE, incluant l'IE8 de 2009, étaient touchées. Peu de temps après, Microsoft avertissait que des pirates exploitaient la faille. Le deuxième bug a été découvert mi-décembre lors d'une conférence sur la sécurité en Corée du Sud. A la suite de quoi, l'éditeur a de nouveau publié un avertissement le 4 janvier en précisant cette fois qu'il ne sortirait pas de patch en urgence pour résoudre le problème. 

Rien pour le bug du gestionnaire de protocole MHTML

De façon inhabituelle, Microsoft a fourni en ce début d'année une liste des bugs connus sur lesquels il devait intervenir, en détaillant cinq failles non corrigées. Le prochain Patch Tuesday n'en corrigera donc que trois. « Ils rectifient le rouge, l'orange et le jaune, commente Andrew Storms en se référant aux codes couleurs utilisés par Jonathan Ness, ingénieur du centre de sécurité de Microsoft (MSRC). « Ce sont de très bonnes nouvelles ». En revanche, d'autres vulnérabilités, également reconnues par l'éditeur, ne sont pas concernées par le patch du 8 février. C'est le cas de la faille découverte la semaine dernière dans le gestionnaire de protocole MHTML. Pas de surprise à ce sujet car les experts s'attendaient tous à ce que Microsoft ne puisse pas la réparer ce mois-ci.

Sur la douzaine de mises à jour attendues, trois sont dites « critiques ». Dans l'échelle de classement, il s'agit du niveau le plus élevé. Les neuf autres sont « importantes ». La plupart des rustines (10 sur 12) s'appliquent à Windows. Parmi elles, l'une concerne la faille en déni de service d'Internet Information Server 7.0 et IIS 7.5 dans Windows 7 et Windows Server 2008 R2. Les deux correctifs restants viennent réparer des vulnérabilités dans Internet Explorer et dans Visio, le logiciel de création de diagrammes. Andrew Storms pense que celui destiné à Visio va corriger un problème de format de fichier.

Une conférence web le 9 février

Le directeur des opérations de sécurité de nCircle Security trouve que le bulletin « advance notification » fourni par Microsoft sur le patch de mardi donne finalement peu d'informations et qu'il est difficile de déterminer dans le détail quels composants spécifiques il vient corriger. Malgré tout, il croit comprendre que l'une de mises à jour (actuellement numérotée Bulletin 4) pourrait concerner un bug dans le kernel de Windows Vista et Windows 7, qui s'appliquerait aussi à Windows Server 2008 et 2008 R2. Selon Microsoft, ce Bulletin 4 n'englobe pas les anciens Windows XP et Windows Server 2003. C'est ce qui fait dire à Andrew Storms qu'il concerne le kernel puisque ce dernier a été revisité par Microsoft dans Vista et les versions suivantes.

Le mois dernier, l'éditeur de Redmond a comblé une faille dans Vista en pointant du doigt le programme Backup Manager du système d'exploitation. Cette mise à jour était la septième qu'il livrait pour réparer des vulnérabilités de type « hameçonnage par chargement de DLL » (Dynamic Link Library load hijacking) ou « insertion de code » (binary planting), découvertes par les experts en août 2010.

Microsoft tiendra une conférence web pour répondre aux questions relatives à ses bulletins de sécurité, le mercredi 9 février 2011, à 11 heures Pacific Time (20 heures à Paris).