5 rustines, 15 vulnérabilités : le mardi des rustines de la rentrée est relativement calme. Calme relatif toutefois, puisque les correctifs MS11-071 et MS11-074 doivent si possible être appliqués avec rapidité, les failles qu’ils corrigent ayant déjà fait l’objet de publications. Il s’agit respectivement d’un risque d’exploitation à distance d’un défaut Windows et d’une possibilité d’élévation de privilège reposant sur un bug Sharepoint. MS11-072 n’est pas triste non plus, puisqu’elle ouvre la voie à une exécution de code arbitraire à l’aide d’un fichier Excel forgé. Toutes les éditions d’Excel sont concernées, versions Mac et Windows, y compris les plus récentes, « 2010 », y compris.
On notera que, sur les 5 rustines, deux d’entre elles colmatent une fois de plus des trous de «détournement de DLL »… un boulet que traîne Microsoft depuis plus d’un an, un tonneau des Danaïdes qui ne semble jamais pouvoir se combler. Détail amusant, la série de bulletins d’alerte a été momentanément disponible durant la nuit de vendredi dernier. Un « loupé » anticipatif qu’a remarqué le Sans.
Au détour d’une note de blog, l’on apprend également que la chasse aux certificats douteux d’origine Diginotar continue, et que de « Patch Tuesday » est complété par l’immolation de 6 nouveaux certificats, comme précisé par un billet rédigé sur le blog du MSRC.
Chez Adobe, qui publie également ses bulletins et rustines le second mardi du mois, la pitance est toute aussi consistante : un seul bulletin d’alerte, mais 13 CVE corrigés d’un coup. Les vulnérabilités corrigées sont considérées comme critiques et peuvent être exploitées via un fichier forgé. Ces failles concernent les versions 10.1 et précédentes du Reader et d’Acrobat pour Windows et Macintosh, et 9.4.2 et antérieures du Reader pour Unix.