5 des 7 mises à jour sont classées comme critiques, la menace la plus élevée dans le classement de la firme de Redmond. Les deux autres sont identifiées comme importantes. Andrew Storm, directeur opérationnel de nCircle Security et Paul Henry chercheur chez Lumension, placent la mise à jour d'IE 10 en priorité. Pour Paul Henry, « les bugs portent sur des failles de la gestion de la mémoire ». Ces erreurs peuvent être exploitées par des pirates à travers des attaques de type « drive by ».
Pour ce patch Tuesday, seuls IE 9 et IE 10 sont concernés, mais d'autres versions du navigateur pourraient être impactées. La firme de Redmond a rarement publié des changements de code destinés à renforcer la sécurité d'un produit, surtout si ce dernier n'est pas techniquement vulnérable aux attaques. Il s'agit d'une mesure prophylactique pour éviter « que dans le futur une faille soit trouvée dans des versions anciennes du navigateur et l'exploiter », souligne Andrew Storm. C'est le deuxième mois où les correctifs touchent IE. En novembre, trois failles critiques sont réparées dans IE 9. A l'époque Andrew Storm soupçonnait Microsoft d'avoir réussi à corriger des failles dans IE 10 avant le lancement commercial de Windows 8, le 26 octobre dernier.
Failles critiques dans Word et Exchange
Les autres mises à jour s'adressent à une ou plusieurs vulnérabilités critiques dans Windows, y compris la version 8 et RT. Elles recensent aussi un bug critique dans Word 2003,2007 et 2010 et dans Exchange 2007 et 2010. Andrew Storm revient sur ce dernier point : « Exchange est une des applications les plus critiques au niveau commercial et ce n'est pas quelque chose que l'on peut arrêter, surtout en décembre ». Cependant, il ne va pas jusqu'à dire d'appliquer immédiatement la mise à jour pour Exchange, en raison de la période des fêtes de fin d'année souvent crucial pour les entreprises.
Paul Henry, qui a régulièrement des contacts avec Microsoft, estime que la mise à jour pour Exchange concernerait des failles découvertes dans le code de la bibliothèque Outside-In, que la firme de Redmond licencie pour Oracle. Le serveur de messagerie utilise des bibliothèques pour afficher les pièces jointes dans un navigateur plutôt que de l'ouvrir en local dans Word par exemple. Dans le passé des bugs ont été découverts dans le code d'Exchange qui analyse les pièces jointes. Oracle avait corrigé deux menaces dans Outside-In le 16 octobre dernier.
Enfin, en matière de statistique, si le prochain Patch Tuesday se fixe à 7 mises à jour, Microsoft a émis 83 bulletins de sécurité en 2012, soit une baisse de 17% par rapport à 2011 (avec 100 mises à jour). Les correctifs par contre eux ne déclinent que de 5% à 196 en 2012 contre 206 en 2011.
Patch Tuesday : une hotte remplie de mises à jour critiques
Microsoft a indiqué que son prochain Patch Tuesday comprendra 7 mises à jour de sécurité pour corriger 11 failles. Celles qui concernent IE, Exchange et Word sont considérées comme critiques sur les différentes versions de Windows, y compris les plus récentes.