Microsoft livre ses correctifs mensuels de sécurité. Pour octobre, le total est un peu moins impressionnant que les fois précédentes avec 87 vulnérabilités de sécurité corrigées. En rappelant que c'est un ensemble de produits de Microsoft qui est concerné.

Onze vulnérabilités sont critiques et d'exécution de code à distance, mais il n'y a pas eu d'exploitation dans des attaques ou des divulgations publiques. Pour six vulnérabilités non critiques, il y a par contre eu des divulgations publiques.

Parmi les vulnérabilités critiques, Zero Day Initiative de Trend Micro attire l'attention sur la vulnérabilité CVE-2020-16947 qui existe dans Microsoft Outlook et l'analyse du contenu HTML dans un email.

" Cette vulnérabilité pourrait permettre l'exécution de code sur des versions d'Outlook affectées simplement en visualisant un email spécialement conçu. Le Preview Pane (ndlr : volet de prévisualisation) est un vecteur d'attaque ici, vous n'avez donc même pas besoin d'ouvrir l'email pour être impacté. "

Une autre vulnérabilité critique mise en avant est CVE-2020-16898. Elle est présentée comme une vulnérabilité d'exécution de code à distance dans la pile TCP/IP de Windows. Hormis le correctif, une mesure de contournement existante pour éviter une exploitation est la désactivation du support de ICMPv6 RNSS.

McAfee a affublé cette vulnérabilité du petit nom de Bad Neighbor et souligne une faille critique dans la pile IPv6 de Windows, pour un type de bug qui pourrait être rendu wormable. Une notion qui renvoie à des vers informatiques.