Oui, le bug Packager.dll /OLE/CVE-2014-4114/Sandworm est effectivement corrigé par la rustine MS14-060. Déception. Malgré l’impressionnante campagne médiatique qui a entouré la révélation de cette faille, le défaut n’est qualifié que d’important.
Critique,en revanche et comme d’habitude, le cumulatif Internet Explorer MS14-056 qui étanchéise à lui seul 14 fuites, 14 références CVE. Exécutions à distance, élévations de privilèges, contournement de certains dispositifs de sécurités tel ASLR, la collection de bouchons I.E. est quasi complète.
MS14-057 est un autre grand habitué des correctifs du mardi soir, une faille .Net qui mérite elle aussi le grade de “critique”. Les autres alertes ne dépassent pas le niveau “important”. Le Sans émet une opinion différente et, une fois n’est pas coutume, plus alarmiste que Microsoft. Selon les recensements effectués par l’Institut, la grande majorité des trous bouchés en ce mardi sont soit exploités activement, soit divulgués avec assez de détail pour que leur exploitation ne fasse aucun doute à court terme.
Simultanément, comme à son habitude, Adobe publie également son “mardi des rustines”, avec un correctif Flash relativement modeste (3 CVE)
Chez Oracle enfin, on annonce un CPU gros et gras : 154 CVE, pas un de moins. Le dernier « Critical Patch Advisory », CPU en langage Oracle, affecte aussi bien les produits « base de données » que les outils de développement et logiciels métier. Dans le lot se trouve une nouvelle version de Java corrigé de 24 dont 22 exploitables à distance précise l’éditeur