Microsoft a annoncé aujourd'hui qu'il émettra mardi 13 décembre, lors du Patch Tuesday, 14 mises à jour de sécurité pour corriger 20 vulnérabilités dans Windows, Internet Explorer (IE), Office et Media Player. Parmi les correctifs, les spécialistes de la sécurité pensent qu'ils serviront à combler les failles utilisées par Duqu et à réparer le protocole SSL 3.0 (Secure Socket Layer) et TLS 1.0 (Transport Layer Security), victime d'une technique de piratage nommée BEAST (Browser Exploit Against SSL/TLS).

« Ils mettent tout sur la table » s'exclame Andrew Storms, directeur des opérations de sécurité chez nCircle security, en décrivant le large éventail de produits Microsoft qui seront corriger. Il ajoute, « cela ressemble à un grand nettoyage avant la fin de l'année. » 3 des 14 mises à jour ont été classées par Microsoft comme « critique ». Les 11 restantes ont été qualifiées d' « importantes ». Les bugs dans 10 mises à jour pourraient être exploités à distance par des pirates via du code malveillant installé sur des PC non patchés.

Andrew Storm souligne que la mise à jour d'IE devra être rapidement installée par les utilisateurs. Il constate néanmoins qu'en raison du cycle des corrections, les utilisateurs oublient de mettre à jour leur navigateur, surtout en cette période d'importants achats en ligne ». La firme de Redmond a corrigé 6 fois cette année IE, mais Andrew Storm s'étonne que l'éditeur ait attendu la fin de l'année et surtout les périodes de fêtes pour réparer les défauts du navigateur. Il milite pour une mise à jour importante au mois de novembre.

Duqu et BEAST en ligne de mire

La mise à jour 1 devrait également être installée rapidement, estime  Marcus Carey, un chercheur en sécurité de Rapid7. Il a corrélé les versions de Windows concernées par cette mise à jour et celles du mois précédent pour en déduire que ce bulletin de sécurité corrigerait la faille exploitée par Duqu. « La principale raison pour laquelle je pense que ce bulletin est relatif à Duqu est qu'il nécessite un redémarrage, ce qui indique qu'un bug du noyau doit être corrigé. De plus, il affecte toutes les versions de l'OS ». Andrew Storm pense que Microsoft va également stopper la faille dans le moteur d'analyse TrueType identifié par l'éditeur comme un vecteur des attaques de Duqu. Il précise que « cela serait stupide de ne pas avoir de patch Duqu avant la fin de cette année. Microsoft a eu assez de temps ».

Le spécialiste de la sécurité s'attend aussi à une mise à jour sur des problèmes de longue date dans SSL 3.0 et TLS 1.0 sous Windows. Microsoft a publié un avis de sécurité en septembre dernier sur la technique de piratage nommée BEAST récemment dévoilée.

Les 14 mises à jour prévues mardi 13 décembre se classent en troisième position par rapport aux 17 du mois de décembre 2010 et avril 2011. Le nombre total de mises à jour pour l'année 2011 est de 100, soit 5,6% de moins qu'en 2010 et le nombre total de vulnérabilités corrigées était de 237, soit 10,7% de moins que le record de 2010, 266.