Microsoft a publié le menu de son Patch Tuesday. Le nombre de bulletins de sécurité se situe dans la moyenne depuis le début de l'année avec 7 par mois. Le modèle des mois pairs et impairs semble donc résolument écarté par l'éditeur, souligne Andrew Storms, directeur des opérations chez Ncircle Security. En juin, les mises à jour vont corriger 28 vulnérabilités, elles étaient 23 en mai dernier.

Parmi les 7 patchs, 3 sont considérés comme « critiques », qualification la plus haute en matière de menace, et 4 sont classés comme «importants ». Une des mises à jour s'adresse à toutes les versions d'IE (de la version 6 à 9). 4 bulletins sont relatifs à Windows et le reste vise toutes les versions d'Office, ainsi que l'ERP Dynamics AX 2012. Andrew Storms précise que le bulletin relatif au navigateur IE est à placer en tête des priorités, car il est le plus largement utilisé. Le spécialiste soupçonne que cette mise à jour comprendra un correctif pour une ou plusieurs vulnérabilités, y compris de type « zero day », utilisées par Vupen, entreprise française de sécurité, pour pirater IE lors du concours Pwn2Own. La firme de Redmond avait fait de même en 2011 en proposant des patchs en avril, juin et août. « C'était trop tôt pour le mois d'avril » souligne Andrew Storm, car le concours a eu lieu en mars et que le temps de développement d'un correctif est supérieur à 30 jours.

Le bulletin 1 intrigue Andrew Storm, car Microsoft classe le correctif comme « modéré » pour Windows 7 RTM (la version originale de 2009), mais critique pour Windows 7 Service Pack 1, lancé en février 2011. La mise à jour est classée comme critique sur l'ensemble des versions de Windows Server (203, 2008 et 2008 R2). Le consultant pense qu'« il pourrait y avoir un changement sur Terminal Services », qui a été mis en cause avec le malware Flame qui utilisait des faux certificats pour se répandre, via Windows Update. L'éditeur a promis de remédier à cette vulnérabilité. Andrew Storm estime que Microsoft serait bien inspiré de repousser à mardi prochain la publication du Patch Tuesday, le temps de trouver une parade à la faille utilisée par Flame. Les entreprises attendront certainement cela pour appliquer les autres politiques de sécurité. A suivre...