Une seule vulnérabilité MS14-053 (non exploitée) dans .Net, un petit défaut MS14-054 dans le Task Scheduler (également non exploitée), trois CVE isolés relatifs à Lync Server… le patch Tuesday aurait pu discrètement se limiter à ces annonces. C’était sans compter le lot de rustines Internet Explorer qui, ce mois-ci, est frappé d’une inflation digne de la crise Allemande de 36. Au total, 37 trous, certains étant largement exploités « dans la nature » et qualifiés de « critiques ».
A préciser, aucune faille n’est affublée d’un « patch now » de la part du Sans. Une chance si l’on considère que la moyenne d’I.E. frise ce mois-ci les 1,23 trous par jour.
A titre anecdotique, puisque l’on parle de task scheduler et d’escalade privilège, signalons cette trouvaille du « Threat group 0416 » commentée par les chercheurs de Dell Secureworks. L’ordre AT de NT est utilisé ici de manière inattendue et fort instructive.
Critique, en revanche, serait le lot de correctifs d’Adobe qui, avec ses 12 CVE, expose toutes les plateformes à un risque certain.