janvier 20th, 2014

Lorsque résonneront les flonflons du bal des pompiers de l’an prochain, XP aura définitivement vécu. En reportant au 14 juillet 2014 la date limite de la protection antivirale Windows XP (moteur de détection antimalware et signatures), Microsoft fait pousser un (petit) soupir de soulagement à près de30% du parc Français, tant grand public que professionnel. La date limite d’abandon de support de XP n’a pas changé et reste fixée au 8 avril de cette année. Initialement, cette date marquait l’abandon de tous les services de support possibles, antimalware y compris.

Nul n’est besoin d’être expert es-microsoftologie pour deviner que ce léger changement de cap est dicté par l’importance du nombre de licences « Windows 2001 » encore actives. XP fut le premier noyau station « unifié » destiné à la fois aux marchés professionnel et grand public. Il a succédé à Windows 2000 et au catastrophique Windows Me.

Il est rare qu’un patch Tuesday parvienne à combiner, dans un seul exploit « in the wild », un double trou concernant deux éditeurs différents. Trustwave décrit par le menu le mélange carburant-comburant (Microsoft/Adobe, CVE-2013-3346/CVE-2013-5065 ) camouflé sous la forme d’un fichier pdf. Exploit dans la nature, rustine MS14-002 obligatoire. MS14-001 est également jugé critique, avec un index d’exploitation élevé, 4 CVE colmatés. Deux autres rustines considérées comme « importantes » corrigent un défaut noyau et un bug Microsoft Dynamics AX.

Chez Adobe, deux bouchons, l’un stabilisant Acrobat (un CVE) et l’autre Flash (deux CVE).

Chez Oracle, ce mardi des rutines correspondait à la publication de la traditionnelle (et toujours conséquente) CPU trimestrielle : 34 trous java, sur un total de 144 correctifs portant sur 47 produits différents.