Dans la foulée des correctifs de sécurité assez légers publiés au cours des mois derniers, le dernier Patch Tuesday mensuel de Microsoft ne corrige que quelques vulnérabilités critiques dans Internet Explorer. « Si la faille n'est pas colmatée, le navigateur peut faire l'objet d'attaques qui pourraient permettre d'exécuter du code à distance ce qui impose une mise à jour de sécurité », a recommandé  Ross Barrett,  responsable sécurité chez l'éditeur  Rapid7. « Ce sera  la priorité absolue pour ce mois-ci », a-t-il ajouté. « Outre la menace posée par les vulnérabilités que les patchs corrigent, ces udpates du navigateur, dont le niveau est critique, constituera un défi pour les entreprises IT », a signalé Eric Cowperthwaite, vice-président de la stratégie  et de la  sécurité chez Core Security. « L'installation des mises à jour nécessite le redémarrage du système et le navigateur dans toutes ses versions est largement réparti dans les organisations », a-t-il précisé. « Nous ne savons pas encore s'il existe des vulnérabilités actives dans la nature, mais il pourrait bien en avoir. Et, même si ce n'est pas le cas, il semble probable que des failles puissent se développer dans un avenir proche».

Des failles sur les versions serveur et poste de travail Windows

Les brèches affectent les versions  6, 7, 8, 9, 10, et 11  d'Internet Explorer tournant sous Vista, Windows  7, et  8.1 ainsi que sous Windows Server 2003, 2008 et 2012 Le bulletin de sécurité concernant IE  est également susceptible d'inclure des correctifs pour colmater un certain nombre de failles découvertes au cours du mois passé, a précisé Ross Barrett, également ingénieur sécurité chez Rapid7. Les autres bulletins publiés ce mois-ci sont aussi classés importants, ce qui signifie que les attaques exploitant ces failles requièrent une intervention de la part de l'utilisateur. Pourtant, l'un des patchs met en garde contre des vulnérabilités qui pourraient mener à une élévation des privilèges sur du matériel compromis tournant sous Windows 8 et 8.1, sur Server 2012 et 2012 RT, a pour sa part expliqué Jon Rudolph, ingénieur chez Core Security.

Un troisième patch répare des failles dans Windows Server 2003, 2008 et 2012 et Vista, 7, 8 et 8.1 qui pourraient conduire à des attaques DDoS. Enfin, le dernier patch  implique Lync Server 2010 et 2013 et aborde également les problèmes qui pourraient conduire à des intrusions en déni de service distribué.