La semaine passée s’est achevée avec un petit exercice de calcul mental : 33 plus 29 égal… voyons neufétrois-douzej’posedeuxéj’retienzun… 62 vulnérabilités si l’on additionne les failles du dernier patch Tuesday de Microsoft -13 bouchons, 33 trous, un reboot obligatoire- et celles d’Adobe, qui manque de peu le record des 30 trous mensuels dans Acrobat. Rappelons que si Microsoft demeure le leader incontesté en nombre de bugs déclarés, Adobe conserve actuellement une bonne longueur d’avance dans la course aux trous réellement exploités. Une chose est certaine, il est urgent de déployer les mises à jour proposées par l’éditeur.
Record également dans la criticité des défauts ainsi corrigés, puisque 8 bulletins Microsoft portant l’immatriculation MS09-xx sont qualifiés de critique, dont notamment le très célèbre gouffre SMB v2 qui a déjà fait l’objet de nombreux commentaires de la part de Kostya, sans oublier l’impressionnante analyse publiée par l’équipe de SecureWorks (ex Luhrq). Egalement bouché, le « trou IIS/ftp » qui a fait l’objet d’une publication d’exploit sur Milw0rm notamment. C’est la première fois depuis plus de deux ans que Microsoft fait patienter ses clients un mois complet avant d’émettre deux correctifs corrigeant des défauts rendus public et accompagnés d’exploits
Ce mois-ci, l’équipe du MSRC nous offre en prime un tableau très coloré, particulièrement dans les tons chauds, de l’index d’exploitation des failles colmatées. Çà a un petit côté Mondrian absolument adorable… il manque quelques touches de blanc et de vert pour que ce soit parfait. Mais une alerte « verte », çà n’existe pas.