Il est des lendemains de patch Tuesday qui font mal aux cheveux. C’est le cas de la dernière livraison d’Apple et de Microsoft. Côté Apple, le « cumulatif » ne concerne qu’un seul programme, Itunes pour Windows. 75 trous sont bouchés à cette occasion, dont une belle collection de failles liées à Webkit. On notera au passage le travail d’un chercheur Français, Nicolas Grégoire, qui semble avoir manifestement trouvé le moyen d’exploiter un trou de sécurité dans le cadre d’une attaque Man in the Middle lorsqu’un client visite l’iTunes Store.
Avis aux professionnels de l’exploit discret, les bouchons pour iTunes édition OS X ne seront pas publiés avant la sortie du lot de correctifs 2011-006 ou de la mise à jour du noyau d’OS X Lion.
Chez Microsoft, bien que le mardi des rustines ait été moins prolifique et plus varié, l’on apprécie aussi les bouche-trous multi-failles. Parmi les 23 CVE colmatés, 8 sont concentrés dans le bouchon ms11-081. Il s’agit bien entendu d’une série de failles affectant plusieurs éditions d’Internet Explorer, comme il est de tradition au fil des mois pairs. Le reste concerne quelques défauts du .Net Framework ainsi qu’un trou à forte probabilité d’exploitation dans Windows Media Center. Des exploits visant ce dernier sont aisément trouvables sur Internet.
Les moins chanceux seront, une fois de plus, les administrateurs de serveurs. Un bouchon vise spécifiquement Microsoft Host Integration Server, et la rustine ms11-077 corrige plusieurs failles « noyau » qui concernent aussi bien d’antiques XP SP3 que les plus récents Windows 2008 Server x64 SP2. Et tout correctif système est susceptible de provoquer à son tour des effets de bord qui nécessitent des tests de non-régression préalables.