Apple a été le premier a dégainer avec la mise à jour 10.5.2 pour Leopard et la mise à jour de sécurité 2008-001 pour Tiger. L’éditeur corrige notamment une série de vulnérabilités critiques qui permettaient d’exécuter un programme sur le Mac via une adresse piégée. Une telle attaque était possible dans Mail, Safari (par l’intermédiaire de Foundation) et – plus étrange – dans le Terminal. Par ailleurs, une vulnérabilité majeure est corrigée dans l’implémentation de Samba, qui permettait à un attaquant d’exécuter du code quelconque à distance.

Enfin, les Services de Répertoires souffraient d’une vulnérabilité exploitable localement et qui autorisait un utilisateur local à exécuter des programme avec les droits du système (il s’agit là de la faille dont rêve tout auteur de Cheval de Troie !). Ce sont au total une dizaine de vulnérabilités qu’Apple a ainsi comblé.

En quittant Cupertino pour Seattle, les rustines sont toujours aussi populaires. Microsoft publie pour sa part onze correctifs répartis entre Windows, Internet Explorer, IIS, Office et Active Directory. 

Les vulnérabilités les plus dangereuses concernent Windows (exécution de code via le partage WebDAV), Internet Explorer et l’intégration OLE (plusieurs méthodes d’exécution de code à la visite d’une page web piégée) ainsi que Office et les convertisseurs Works (exécution de code à l’ouverture de documents Word, Works ou Publisher corrompus).

Une étonnante vulnérabilité critique est également corrigée dans le serveur web IIS, qui permettrait l’exécution de code sur le serveur à travers des entrées non validées dans les pages ASP. Etonnante car la validation des entrées utilisateurs est généralement de la responsabilité du développeur de l’application web. On a rarement vu le serveur lui-même venir contre-carrer ses efforts ! Les utilisateurs d’ASP.NET sont a l’abri, seuls ceux persistants avec l’ASP standard sont concernés par cette faille. 

Les autres vulnérabilités égrenées par le bulletin d’alerte de Microsoft concernent essentiellement des dénis de service potentiels, notamment dans le serveur web IIS, Active Directory, et la pile TCP/IP de Windows.

Pour faire bonne mesure enfin, citons la découverte – et la correction quasi-immédiate – de vulnérabilités locales au coeur du noyau 2.6 de Linux. Elles permettaient à un utilisateur déjà authentifié sur le système d’obtenir les droits administrateur. Les version 2.6.23.16 et 2.6.24.2 du noyau corrigent ces bourdes.