Microsoft a annoncé hier qu'il livrera 16 mises à jour de sécurité, ou « avis », selon sa dénomination, pour corriger des vulnérabilités dans Internet Explorer (IE), Windows, Office, Exchange Server et SharePoint Server. Un record, en tout cas sur les trois dernières années. En effet, ce nombre est presque deux fois plus élevé que le record précédent de 9 patchs atteint en août et en mai 2014 ; il éclipse aussi l'ancien record de 13 correctifs atteint en 2013, et il rattrape presque le record absolu des 17 mises à jour atteint en avril 2011. Dans un courriel, Russ Ernst, directeur de la gestion des produits pour l'entreprise de sécurité Lumension, a qualifié ce patch Tuesday de novembre « d'énorme », tandis que Jon Rudolph, ingénieur logiciel senior chez Core Security, a dit que ce chiffre était « très élevé ». 5 des 16 vulnérabilités sont qualifiées de « critiques », soit l'échelle la plus élevée en terme de menace dans le classement de Microsoft. 9 failles sont qualifiées d'« importantes », et 2 de « modérées ».

Cinq vulnérabilités corrigent des failles qui, si elles étaient exploitées, pourraient permettre « l'exécution de code à distance », ce qui signifie que des pirates pourraient détourner avec succès un système et installer des logiciels malveillants sur la machine. Sept autres corrigent des failles dites « d'élévation de privilèges ». Microsoft va corriger toutes les versions de son navigateur IE, depuis le vieux IE6 presque à la retraite de Windows Server 2003 jusqu'au plus récent IE11. Le correctif pour les versions de IE - IE7, IE8, IE9, IE10 et IE11 - tournant sur Vista, Windows 7 et Windows 8/8.1 est qualifié de critique. Microsoft ne précise pas le nombre de vulnérabilités corrigées pour chaque version d'IE, mais au cours des cinq derniers mois, l'éditeur a corrigé 161 bugs dans le navigateur, soit une moyenne de 32 chaque mois. Le nombre de vulnérabilités corrigées dans IE avait atteint un record de 60 en juin, contre 37 en septembre et 26 en août.

Un patch n°5 préventif

D'autres mises à jour critiques sont destinées à corriger des vulnérabilités dans les différentes versions de Windows. À noter, cet étrange avis n° 5 qui fait état d'une faille affectant seulement les systèmes d'exploitation pour serveur. Microsoft a expliqué qu'un ou plusieurs des bugs concernés par le correctif n° 5 ne concernent pas les éditions clients, mais que ces systèmes seraient quand même à jour afin d'offrir « une défense en profondeur plus solide » pour se protéger contre des vulnérabilités similaires qui pourraient apparaître à l'avenir. Deux mises à jour importantes sont chargées de corriger des failles dans SharePoint Server 2010 et Exchange Server 2007, 2010 et 2013.

Ces mises à jour permettent de se prémunir contre des risques d'élévation de privilèges, et peuvent nécessiter le redémarrage des serveurs, une opération redoutée par les administrateurs IT dans la mesure où SharePoint et surtout Exchange sont des systèmes critiques qui ne peuvent rester hors ligne que pendant de très courtes périodes. « La mise à jour d'un serveur Exchange est toujours délicate, car ces systèmes sont essentiels et souvent déployés sur le périmètre », a convenu dans un courriel Ross Barrett, directeur senior de l'ingénierie de la sécurité chez Rapid7. « Les administrateurs devront estimer si le risque d'exposition à la faille est plus important qu'une interruption de leurs systèmes ». Toutes ces mises à jour seront livrées le 11 novembre vers 10 heures (heure du Pacifique).