La vulnérabilité CVE-2016-7256 au sein de la police OpenType fait également partie du bulletin Microsoft MS16-132 car elle aussi est activement exploitée. Permettant à des attaquants de prendre le contrôle total de la machine d’un utilisateur consultant une page Web malveillante, cette vulnérabilité doit donc aussi être considérée comme critique.

Enfin, trois vulnérabilités supplémentaires divulguées avant la disponibilité des patchs ont également été résolues. Affectant les navigateurs IE et Edge, ces trois problèmes ont été respectivement résolus dans les bulletins MS16-142 et MS16-129 (CVE-2016-7227 pour IE et CVE-2016-7199 et CVE-2016-7209 pour Edge). Rien n’indique pour l’instant que ces trois failles déjà divulguées soient activement exploitées.

Le bulletin Microsoft Office MS16-133 contient des correctifs pour 10 vulnérabilités pouvant permettre à des attaquants de prendre le contrôle total d’un système. En plus de ces 10 correctifs, une divulgation d’information ainsi qu’une attaque de type DoS (Denial of Service) pouvant entraîner un crash sont à présent résolues. Les documents Office étant légion dans un environnement d’entreprise classique, j’estime que ce bulletin devrait être une priorité critique même s’il est classé comme « Important ».

Trois bulletins critiques concernent Windows, à savoir MS16-130, MS16-131 et MS16-132.
Le bulletin MS16-130 résout des problèmes au sein du Planificateur de tâches de Windows ainsi qu’un problème de chargement de la DLL dans l’éditeur IME (Input Method Editor) et de rendu de fichier image. Le rendu du fichier image est le problème le plus critique car il permet à des attaquants de prendre le plein contrôle de la machine ciblée.

Le bulletin MS16-131 résout un problème au sein du contrôle vidéo permettant lui aussi à des attaquants de prendre le contrôle de la machine d’un utilisateur qu’ils auraient convaincu d’ouvrir un fichier malveillant ou une application depuis une page Web ou un message électronique.

Quant au bulletin MS16-132, il corrige une vulnérabilité dans une police OpenType exploitable en consultant une page Web malveillante ou en ouvrant un document mal formaté.

Les administrateurs Microsoft SQL Server devraient s’intéresser au bulletin MS16-136 qui corrige 6 vulnérabilités au sein du serveur de base de données, de l’API MDS, des services d’analyse SQL et de l’agent SQL Server. Les vulnérabilités concernant le serveur SQL sont relativement rares et même en l’absence d’exécution de code à distance (RCE), les attaquants peuvent obtenir des privilèges élevés pour visualiser, modifier, voire supprimer des données et créer de nouveaux comptes.

En résumé, la vulnérabilité activement exploitée affectant le noyau et la police OpenType, les trois autres failles de navigateur déjà divulguées et le patch pour SQL Server, marquent ce mois de novembre d’une pierre blanche.