patch-tuesday-fev-2011 Promis copieux, le deuxième Patch Tuesday de l'année pour Microsoft l'est effectivement. Douze mises à jour de sécurité pour combler des vulnérabilités dans Windows, Internet Explorer, Office et Internet Information Services, soit 22 failles au total. Parmi les mises à jour, trois sont cataloguées critiques, et c'est donc sans surprise ces dernières que Microsoft conseille de déployer en priorité.

La mise à jour MS11-003 se charge de corriger quatre failles affectant Internet Explorer ( dont deux révélées publiquement ). L'une d'elle a été dévoilée ( full disclosure ) en décembre 2010. La mise à jour modifie ainsi la manière dont IE traite les feuilles de style CSS. Microsoft a minimisé l'impact de cette vulnérabilité en soulignant le faible nombre d'attaques ( pic fin janvier ) essentiellement enregistrées en Corée et dans une moindre mesure en Chine et aux USA.

Des attaques, Microsoft n'en a pas observées pour la vulnérabilité comblée avec la mise à jour MS11-006. Il s'agit du trou de sécurité dans Graphics Rendering Engine ( traitement graphique du Shell Windows ) et relatif à la manière dont Windows affiche certaines miniatures à l'intérieur des dossiers. La faille est critique pour Windows XP, Vista, Server 2003 et 2008.

Dernière mise à jour critique, MS11-007 colmate une vulnérabilité signalée confidentiellement dans le pilote Compact Font Format (CFF) OpenType. Pour l'exploitation de cette faille sous tous les Windows, un utilisateur doit charger une police de caractères spécialement conçue. Le pilote est utilisé par les navigateurs concurrents d'Internet Explorer.

Pour connaître le reste du contenu du Patch Tuesday de Février 2011, on pourra consulter cette page. On n'y trouvera pas mention de la faille MHTML dans Windows avec Internet Explorer comme vecteur d'attaque.... puisqu'elle n'a pas été corrigée.

À noter également que la mise à jour d'AutoRun qui restreint la fonctionnalité AutoPlay aux CD et DVD ( désactivation pour les périphériques USB ) est diffusée via Windows Update. Elle s'adresse aux versions de Windows antérieures à Windows 7 qui dispose déjà de cette fonctionnalité ( ou restriction ) de sécurité.