Le plus surprenant, concernant le tout dernier « mardi des rustines » du mois de novembre publié par Microsoft, c’est qu’il ne comportait aucune surprise… pas même celle que l’on espérait. Comme prévu, la MS10-087 colmate le « remote » visant Outlook, et les 11 trous prévus par le bulletin anticipé sont bien là, tous là, sans plus.
Mais de correctif Internet Explorer, point. Fait d’autant plus inquiétant que depuis le début de ce mois l’éditeur a publié le bulletin d’alerte 2458511, et que le ban et l’arrière ban des chasseurs de virus clament que la faille est activement exploitée dans la nature. Et plus exactement par le « pack d’exploits » baptisé Eleonore ( attention, certains liens donnés sur ce site sont indiscutablement dangereux). Selon AVG, Eleonore serait responsable de plus de 1,2 million d’infections. Certes, toutes n’ont pas pour origine ce fâcheux bug Internet Explorer, mais le danger est indiscutablement présent. Les mesures de contournement conseillées par le bulletin d’alerte susmentionné sont donc à respecter, tout en gardant à l’esprit que leur mise en œuvre provoque parfois des dysfonctionnements de navigation.
Il faut donc s’attendre à ce que Microsoft publie une rustine « out of band » dans les jours qui suivent. Il faut également s’attendre à ce que cet « out of band » ne soit pas appliqué rapidement, notamment à l’intérieur des réseaux d’entreprise, comme ce fut le cas pour la « faille Conficker ».
A noter également que les bouchons pour Office 2004 et 2008 pour Macintosh ne sont pas disponibles, comme le précise le bulletin d’alerte. Seule la version Office 2011, récemment mise sur le marché, peut recevoir un correctif.