Microsoft livrera mardi prochain son « Patch Tuesday », pour le mois de novembre. Il semble modeste, l'éditeur annonçant simplement quatre bulletins de sécurité. Néanmoins, l'un d'entre eux est de niveau « critique » et la gravité de deux autres est jugée importante (*). Ils s'appliquent tous au système d'exploitation Windows. Vista est principalement visé puisqu'il fait l'objet d'un bulletin critique et de deux bulletins importants.  Windows 7, Windows Server 2008 et 2008 R2 sont concernés par un bulletin critique, par un autre jugé important, ainsi que par des bulletins modérés et faibles. Par ailleurs, XP et Windows Server 2003 récupèrent tous deux un bulletin « Important ». Microsoft a programmé un webcast d'explication autour de ce Patch Tuesday le mercredi 9 novembre.

En revanche, le spécialiste de la sécurité Qualys signale qu'on n'attend pas, pour cette édition du Patch mensuel, de correctif pour combler la faille zero-day utilisée par le malware Duqu récemment découvert. Celui-ci se sert pourtant de Word pour se déployer. Qualys précise toutefois que Microsoft a publié un avertissement expliquant que la faille en question est liée au moteur d'analyse de fontes TrueType Win32k et qu'elle peut être exploitée par le biais de documents, mais également en naviguant sur le web. Pour neutraliser l'attaque, il faut désactiver le rendu des fontes TrueType embarquées. Qualys recommande cette mesure, mais précise que les entreprises devraient aussi évaluer dans quelle mesure la restriction de ces capacités de rendu va affecter le traitement des documents et la navigation web. Microsoft dit travailler activement sur ce problème pour fournir les informations qui permettront à ses clients de renforcer leur protection.

(*) Sur l'échelle des indices de gravité utilisée par Microsoft, le niveau « critique » qualifie les vulnérabilités dont l'exploitation pourrait permettre de propager un ver Internet dans aucune action de l'utilisateur. Le niveau « Important » se rapporte à une faille dont l'exploitation pourrait entrainer la compromission des caractères de confidentialité, d'intégrité ou de disponibilité des données des utilisateurs ou des ressources de traitement.

Illlustration : Le bulletin de notification Patch Tuesday de Microsoft pour novembre 2011