Le bal a été ouvert par Oracle qui a émis successivement trois correctifs Java en moins d’un mois, la dernière en date portant l’immatriculation CVE-2013-1493. Cette rustine, précise un billet du blog du Response Team Oracle, n’avait pas pu être conçu à temps pour être intégrée dans la traditionnelle CPU trimestrielle. Cette succession de correctifs « out of band » concernant des produits très généralistes et très éloignés des outils de développement et SGBD ne semble pourtant pas militer dans le sens d’une augmentation du rythme de publication des lots de correctifs. Ce qui se comprend pour des outils serveurs devient toutefois plus discutable lorsqu’il s’agit d’une extension quasi grand public telle que Java. Malgré ces publications de correctifs hors calendrier se pose une fois de plus la question de la nécessité et du rapport risque/avantage des extensions Java en général.
Plus traditionnel, le mardi des rustines de Microsoft s’est soldé par un bilan assez moyen : 20 CVE, dont 11 offrant des possibilités d’exploitation à distance, 6 élévations de privilèges et trois risques de fuites d’information. Le tout colmaté en seulement 7 rustines dont 4 qualifiées de critiques. A noter, dans le lot, un risque d’exploitation via des périphériques USB qui a su attirer l’œil de beaucoup de médias et d’encore plus de « hackers hardware ».
Chez Adobe, la moisson est maigre ce mois-ci : seulement 4 CVE bouchés dans Flash Player, offrant un risque tant sur plateforme Windows que OS/X. Il ne faut pas perdre de vue que tous les navigateurs ne sont pas systématiquement paramétrés pour effectuer ces mises à jour Flash. Ce point de détail revêt une importance toute particulière pour les usagers utilisant plusieurs navigateurs et devant, de ce fait, vérifier que la bonne version de Flash est installée sur chacun de ces logiciels.
