Huit des neuf mises à jour affectent une ou plusieurs versions de Windows. L'une d'elles corrige l'IIS (Internet Information Services) dans le logiciel de serveur web de l'éditeur, et deux d'entre elles concernent Office. (Microsoft a listé l'un des bulletins dans deux catégories.) "À mon avis, il y a peu de chance qu'ils touchent au problème de DLL dans Windows, »  a estimé Wolfgang Kandek. « J'aurais bien aimé, mais je pense que c'est une décision difficile, parce qu'une telle modification a potentiellement la capacité de bloquer les applications. » Certains experts en sécurité ont émis l'hypothèse que Microsoft pourrait proposer aux utilisateurs de Windows une façon de se protéger, en déclenchant par exemple un avertissement lorsqu'une DLL ou un fichier exécutable est chargé à partir d'un site web ou un SMB (Server Message Block). Ils estiment en effet que la plupart des utilisateurs ne mettront pas en place l'outil de blocage. « J'imagine mal les utilisateurs mettre en place cet outil, » a déclaré le responsable de Qualys. Mais Microsoft pourrait proposer une autre solution pour sa mise en oeuvre. La semaine dernière, Jerry Bryant du Microsoft Security Response Center a déclaré que l'éditeur distribuerait l'outil de blocage via son service Windows Server Update Services (WSUS), le mécanisme le plus utilisé en entreprise pour traiter les questions de mises à jour. Il a également ajouté que l'éditeur envisageait de livrer son outil à tous les utilisateurs via Windows Update.

Les anciens Windows sont devenus très peu sûrs

« Ce cocktail de mises à jour est en grande partie destiné aux anciennes versions de Windows, » fait remarquer Don Leatham, directeur senior des solutions et de la stratégie chez Lumension. Celui-ci fait remarquer que Windows XP Service Pack 3 (SP3), la seule version du système d'exploitation sorti il y a 9 ans, dont Microsoft assure toujours le support technique, recevra huit mises à jour, dont trois critiques. Comparativement, Windows Vista, est concerné par cinq mises à jour seulement, dont deux «  critiques, » tandis que Windows 7 bénéficiera de trois mises à jour, dont aucune critique. «Ces chiffres montrent que les entreprises fonctionnant avec des machines tournant sous Windows 7 bénéficient d'un environnement beaucoup plus sûr. Pour elles, ce Tuesday Patch sera pratiquement un non-événement, » a anticipé Don Leatham. «Les entreprises qui sont restées arc-boutées sur Windows XP devraient reconsidérer leur choix d'une manière critique et estimer les coûts et les facteurs de risque associés à cette plate-forme. »

Pas d'infos sur ces patchs

Microsoft, qui informe généralement dans ses avis de sécurité des bugs qu'il projette de résoudre, ne dit rien sur le détournement de DLL ou sur le patch d'autres bogues pas encore résolus. « Nous ne pouvons pas faire état de détails sur les mises à jour qui seront livrées, » a répondu Jerry Bryant. "La question de la charge de DLL fait partie d'une enquête en cours. Nous prévoyons de diffuser des bulletins de sécurité adaptés pour les produits affectés et/ou des mises à jour pour parer à ce problème." La semaine dernière, Microsoft a indiqué qu'elle se penchait actuellement sur des rapports récents faisant état d'une vulnérabilité connue de longue date et affectant Internet Explorer (IE). Un correctif est peu probable, dans la mesure où Microsoft communique toujours à l'avance sur les mises à jour de sécurité d'IE. Les neuf mises à jour du prochain Tuesday Path seront disponibles le 14 septembre à partir de 1 h du matin, Eastern Time (soit 7 heures, heure française).