Il ne fera probablement pas date, ce Patch Tuesday de septembre 2008. 4 bulletins, pas un de plus, et exceptionnellement pas le moindre « I.E. cumulative ». Une vulnérabilité dans la gestion des URI sous OneNote, hautement critique mais peu encline à inspirer les auteurs de malware, compte tenu de l’importance très relative du logiciel affecté. Un patch attendu du Media Encoder 9, un autre destiné à Media Player 11, bref, jusqu’à présent, pas de quoi inquiéter tout ce qui touche à l’informatique d’entreprise.
La dernière faille, MS08-052, pose en revanche plusieurs problèmes (http://www.microsoft.com/technet/security/bulletin/ms08-052.mspx). Elle est du bois dont on peut faire de belles flèches empoisonnées. Tout d’abord parce qu’elle fait partie de la famille des correctifs cumulatifs complexes et qu’elle touche un composant vital du noyau –il s’agit d’une série de failles GDI- et que la liste des programmes affectés est longue comme un jour sans pain. A l’heure où nous rédigeons ces lignes, il n’existe pas d’exploit « officiellement » répertorié s’attaquant à l’un de ces défauts. Ni sur Milw0rm, ni sur l’un de ses proches cousins white hat. Les seuls bulletins publiés à ce sujet en dehors du monde Microsoft relèvent de la sphère iDefense ou ZDI, et ne laissent par conséquent filtrer aucun renseignement supplémentaire. Les tests de non-régression peuvent donc être envisagés avec une certaine sérénité.
Et ce ne sera pas du luxe. Cette rustine n’est pas, dans le cadre d’un déploiement d’envergure, particulièrement simple à appliquer. Car elle peut tout aussi bien colmater une faille système ou un trou situé dans une application. L’on risque donc de devoir prévoir des mises à jour multiples, en plusieurs « passes ». Bill Sisk, dans son désormais traditionnel billet « post-patch », insiste particulièrement sur l’éventuelle complexité du déploiement. « I encourage you to review the bulletin carefully, since there are other considerations to keep in mind when planning your deployment strategy » insiste-t-il. Ce genre d’insistance est assez rare pour que l’on en tienne doublement compte.