Avec vingt-trois correctifs, le Patch Tuesday que Microsoft livrera mardi prochain, 8 mai, est plus important que d'habitude pour un mois impair. Dans la notification avancée communiquée par l'éditeur, on dénombre trois bulletins dits « critiques » et quatre qualifiés d'« importants ». Pendant quelques temps, Microsoft a suivi un planning suivant lequel le nombre de mises à jour était plus important sur les mois pairs (tout en fournissant aussi, de façon régulière, des correctifs pour son navigateur web Internet Explorer). Et jusque-là, le nombre de correctifs livrés en mai était assez léger, fait notamment remarquer Andrew Storms, directeur des opérations de sécurité chez nCircle Security, qui suit le nombre de patches livrés chaque mois par Microsoft. En mai 2010 et 2011, l'éditeur n'avait fourni que deux mises à jour qui corrigeaient respectivement deux et trois vulnérabilités.

Depuis le début de l'année, le rythme des livraisons (sept, neuf, six, six et sept mises à jour sur ces cinq premiers mois) met fin à l'idée que Microsoft alterne les gros et les petits Patch Tuesday. Andrew Storms constate effectivement que le nombre de bulletins apparait désormais assez lissé sur la durée. Wolfgang Kandek, le directeur technique de Qualys, semble plutôt d'accord avec cela. « Les années précédentes, nous avons vu de fortes différences [dans le nombre de mises à jour mensuelles], celles-ci allant de 2 à 17 », a-t-il écrit dans un mail. Pour lui, le lissage constaté dans la taille des livraisons mensuelles n'est peut-être pas intentionnel, mais il rend en tout cas la charge de travail bien plus prévisible et il juge que c'est préférable à un mode de livraison en rafale.

Cinq bulletins à prendre en compte rapidement

Sur les sept mises à jour prévues pour ce mardi 8 mai, le nombre important de correctifs concernant la suite bureautique Office a attiré l'attention d'Andrew Storms. Trois d'entre eux vont corriger des failles dans le traitement de texte Word, le tableur Excel et l'outil de création de diagrammes Visio. Le bulletin 2 de la notification avancée de Microsoft englobe à la fois Windows (sur presque toutes ses éditions), le framework .Net, Silverlight et Office pour Windows (sur toutes les versions actuellement supportées).

Pour Wolfgang Kandek, de Qualys, et Marcus Carey, de Rapid7, les trois bulletins critiques devraient être pris en compte aussi rapidement que possible la semaine prochaine, de même que deux autres bulletins notés importants. Pour ces derniers, les failles à mettre à jour peuvent déboucher sur des exécutions de code à distance, ce qui signifie que des attaquants peuvent prendre le contrôle d'un PC s'ils parviennent à les exploiter. Excel et Visio sont concernés.

Deux des quatre mises à jour Office s'appliquent aux éditions 2008 et 2011 d'Office pour Mac. Andrew Storms note par ailleurs qu'avec la livraison de mai, Microsoft aura transmis 70 patches de sécurité depuis le début de l'année, contre seulement 59 l'année dernière à la fin mai.