Microsoft a indiqué que le prochain Patch Tuesday comprendrait 10 mises à jour dont 2 sont classées comme critiques. Elles corrigent 34 vulnérabilités, dont la faille zero day dans IE8 trouvée la semaine dernière. « IE est toujours critique et nous nous attendions au moins à une mise à jour ce mois-ci », explique Andrew Storms, directeur des opérations de sécurité chez nCircle. Il ajoute « ce qui est original, c'est le correctif pour le IE8 ».

Pour le spécialiste, ces deux mises à jour visant Internet Explorer seront à déployer très rapidement. Pour lui, le plus important sera le bulletin 2 qui corrige la faille zero day dans IE8 découverte par plusieurs sociétés de sécurité la semaine dernière. Elle a été utilisée dans des attaques pour récupérer des documents liés à la recherche nucléaire au sein du ministère américain du Travail. Hier, la firme de Redmond a publié un outil automatisé pour protéger IE8 des attaques. Andrew Storms salue la réponse rapide de Microsoft et sa capacité à trouver une solution en la testant à la fois sur IE8 et IE9, « c'est beaucoup de travail en seulement une semaine ».

Correction des failles découvertes au Pwn2Own

Le bulletin numéro 1 critique pour IE devrait comprendre des correctifs pour des failles révélées au concours de hacking Pwn2Own, selon Andrew Storms. Le spécialiste les attendait déjà lors du Patch Tuesday d'avril. Au concours Pwn2Own du mois mars, une équipe de la société française Vupen avait exploité deux failles pour pirater IE10 et empocher 100 000 dollars de récompense. Le PDG de Vupen, Chaouki Bekrar, avait indiqué le mois dernier, « la première faille que nous avons utilisé contre Windows 8 et IE10 affecte toutes les versions d'IE de 6 à 10 sur toutes les versions de Windows de XP à 8, mais aussi RT ». Or, le bulletin 2 égrène cette même liste et laisse donc à penser que c'est bien des correctifs pour ces failles.

Les huit autres bulletins du Patch Tuesday sont classés comme « importants » et corrigent des failles dans Microsoft Publisher 2003, 2007 et 2010; Word 2003, Visio 2003, 2007 et 2010; Microsoft Office Communicator 2007 R2; différentes composantes de Lync 2010 et Lync Server 2013 et Windows Essentials 2011.