Le Patch Tuesday du mois de février 2014 comprend 5 correctifs, dont 2 sont classés comme critiques. Le premier affecte non seulement les clients Windows 7, 8, 8.1, RT et RT 8.1, mais aussi Server 2008 et 2012 y compris la version R2. Il corrige des vulnérabilités permettant à des attaquants d'exécuter du code à distance. Le second bulletin critique concerne le logiciel de sécurité Forefront Protection pour Exchange. Il bloque des failles permettant l'envoi de spams et de malwares, voire d'accéder directement au serveur de messagerie, explique Wolfgand Kandek, CTO de Qualys. Pour Ross Barrett, directeur de l'ingénierie sécurité chez Rapid7, « compte tenu de la possibilité d'exécution de code à distance dans un périmètre comme Forefront, je pense que ce patch est le plus prioritaire ce mois-ci ».

Pas de correctifs pour IE et peu pour XP

Les analystes constatent aussi que seulement deux mises à jour affectent Windows XP. Ces patchs sont classés comme « important ». Un donnerait la possibilité à des attaquants d'obtenir une élévation des privilèges, tandis que l'autre serait utilisé pour récupérer des données personnelles. Pour rappel, Le 8 avril prochain Microsoft mettra fin au support de Windows XP et ne fournira donc plus de mises à jour de sécurité. Les experts s'attendaient donc à une salve de correctifs avant la fin du support.

Par ailleurs, il n'y a pas de traces non plus de correctifs pour IE. « J'ai failli m'étouffer avec mon café quand j'ai vu qu'il n'y avait pas de patch pour le navigateur », explique Andrew Storm, directeur Devops chez CloudPassage. Il ajoute que « l'année dernière, il y avait un patch par mois et là rien depuis 2 mois. Il se passe quelque chose d'étrange et personne ne sait quoi ». La réponse est peut-être à chercher dans la tenue prochaine du concours de hacker Pwn2Own attendu le mois prochain à Vancouver. Un des défis sera de pirater IE 11 pour Windows 8.1 avec une récompense de 100 000 dollars à la clef. Un prix de 150 000 dollars sera attribué au piratage de la même configuration mais protégée par la solution EMET (Enhanced Mitigation Experience Toolkit).