Patch Tuesday : fifty-fifty
Deux ZDE colmatés, deux autres encore béants : le jour des rustines Microsoft n'aura échappé à aucun des services web spécialisés dans la traduction des alertes, lesquels rapportent que la faille Visual Studio est colmatée à l'aide de l'étoupe 06-073, et qu'un second ZDE affectant Media Player disparaît avec le bulletin 06-078. Ce trou de sécurité avait notamment inauguré le tout nouveau blog d'alertes « exclusivement ZDE » lancé par eEye . Autant de problèmes critiques auxquels il faut ajouter le quasi traditionnel « cumulatif » bouchant quelques unes des porosités d'Internet Explorer (version 7 non comprise). Cette fois, le bouchon multiple porte l'immatriculation 06-072. Les agences de traduction auront également fait état de la non-correction d'une faille affectant le traitement de texte Word, laquelle remonte au 5 décembre. L'on pourrait même préciser que ce sont deux bugs et demi, que manque le « patch Tuesday », puisqu'en date du 10 décembre, le Blog du MSRC vient d'en découvrir un nouveau. Alerte qui n'a rien à voir semble-t-l avec la précédente, mais dont la rédaction est aussi sibylline que dénuée d'information (Microsoft conseille toutefois de n'ouvrir aucun document Word provenant de source indigne de confiance, et c'est là la seule mesure de contournement conseillée). Cette absence de renseignement ne semble pas franchement affecter les développeurs de codes dangereux, car trois variantes de chevaux de Troie semblent exploiter ce défaut. Il faudra probablement attendre le mois prochain pour espérer une parade. Cette publication d'exploits « actifs dans la nature » est une preuve supplémentaires, s'il en fallait une, de l'inefficacité et surtout du danger que représente la mensualisation des correctifs noyaux et applications bureautiques de Microsoft. Si l'on peut, pour des raisons de complexité évidente et de coûteux risques de régression, comprendre les raisons qui ont poussé certains éditeurs de SGBD à espacer la publication de leurs correctifs à des dates très précises, on ne saisit toujours pas la logique qui pousse Microsoft a adopter une attitude semblable sur une famille de produits à usage général. Au fait, nous allions presque oublier... Les bulletins MS06-0744, MS06-0745, MS06-0746, et MS06-077 sont des correctifs de gravité jugée seulement « importante » et concernant respectivement un risque de corruption mémoire via les outils snmp, la gestion des fichiers manifest au lancement d'une application, la gestion du format du carnet d'adresse de Outlook Express, et une instabilité des services RIS qui permettrait (la chose est assez amusante) l'ouverture d'une liaison Tftp.
