11 CVE et… trois bouchons seulement. Le prochain « mardi des rustines » sera concentré et légèrement atypique, puisque –une fois n’est pas coutume- ne comprenant pas le moindre « cumulatif I.E. ».
Le bulletin prévisionnel précise qu’une rustine Office est qualifiée de critique, fait relativement rare. Chez Microsoft, il faut généralement deux conditions pour mériter un tel grade : il faut tout d’abord que le trou soit techniquement exploitable, qu’il le soit « à distance » et non seulement depuis la console, et qu’enfin il n’exige pas d’interaction avec l’utilisateur du programme en question. Ce dernier point est assez rare dans la gamme Office. Etaient qualifiées de critique dans le catalogue des produits bureautiques les failles permettant par exemple l’exécution d’une applet depuis l’interpréteur html de Outlook. Cette faille affecte toute la gamme, de Office XP SP3 à 2010 64 bits, et s’avère paradoxalement « importante » sur les anciennes éditions et « critique » sur les versions les plus récentes. A noter que la faille est également présente sur les versions Macintosh d’Office 2011, avec le qualificatif d’important.
Un second bulletin signale l’existence d’un trou de sécurité dans l’outil de développement marketing de 4ème génération, Powerpoint, éditions 2002 et 2003 SP3. La troisième faille affecte Forefront Unified Access Gateway 2010 quel que soit le niveau de mise à jour.
Comme il est de tradition, ce lot de rustines est accompagné d’une mise à jour du Windows Malicious Software Removal Tool.
Rappelons que jeudi dernier, Adobe bouchait 18 CVE et recommandait à ses usagers d’adopter la version 10.1.102.64 de Flash Player