Microsoft 51, Java 29 : octobre est riche en trous

Actualités - Alerte - Posté on 12 Oct 2010 at 1:06 par Solange Belkhayat-Fuchs

Serait-ce pour saluer la proximité de la date-anniversaire de William Henry Gates troisième du nom ? Toujours est-il que le « patch Tuesday » de ce mois d’octobre est l’un des plus importants de l’histoire Microsoftienne. 16 rustines « seulement », mais du cumulatif d’anthologie puisque lesdits bouchons de sécurité colmatent 51 CVE, dont 10 d’entre eux sont exploitables à distance et 3 pourraient servir à des élévations de privilèges. Les alertes MS10-071, 75,76 et 77 sont estimées comme critiques par le MSRC. 12 bulletins « station » obtiennent la pourpre cardinalice en matière d’indice d’exploitation, et 4 sur le créneau des serveurs. Cette débauche de carmin ne doit toutefois pas déclencher de panique, puisque seuls les bulletins 10-077, 82 et 83 se voient qualifiés par le Sans d’un avertissement « patch now ». A noter également le nombre important de découvertes créditées à la société Française Vupen. Le prix de la rustine la plus lourde est, une fois de plus remportée par l’inévitable « cumulative Internet Explorer 10-071 ».

Java 6 update 22ferme, de son côté, 29 CVE officiellement reconnues par Oracle. C’est, avec Flash et le lecteur Acrobat, l’un des vecteurs d’attaque les plus prisés par les auteurs d’exploits et d’infections. La mise à jour est donc obligatoire… et parfois même la désinstallation conseillée, surtout si cet « add-in » n’est pas utilisé. Ajoutons qu’il est parfois difficile de chasser d’anciennes versions « fossilisées » qui sont autant de vulnérabilités insoupçonnées que seul un inventaire scrupuleux des failles peut mettre en évidence. Les particuliers, TPE et artisans peuvent recourir à certains outils gratuits tels que le Personal Software Inspector de Secunia.

Laisser une réponse