Le Patch Tuesday d’avril poursuit la tendance 2015 aux correctifs d’envergure. En effet, Microsoft va publier ce mardi une série de 11 patchs pour résoudre 26 vulnérabilités. Celles-ci affectent Windows et Office tant sur les serveurs que sur les postes de travail. « L’an dernier, les patchs avaient tendance à être moins nombreux » a analysé Wolfgang Kandek, CTO chez Qualys. « Ce bulletin d’avril est un peu plus élevé qu’en 2014 », a-t-il ajouté. Le patch de ce mois-ci concerne Office, Internet Explorer, SharePoint Server, le runtime .Net, la machine virtuelle Hyper-V, ainsi que les deux éditions serveur et desktop de Windows. La firme de Redmond a indiqué que 4 correctifs étaient classés critiques, Pour Wolfgang Kandek la priorité numéro est MS15-033, le bulletin pour Office. Il Il corrige cinq vulnérabilités de type RCE (exécution de code à distance) parmi lesquelles une « Zero Day », à savoir CVE-2015-1641 qui est actuellement exposée à des attaques limitées dans Word 2010. Cela vaut également pour Word 2007, 2012 et même Word 2011 sur Mac. Microsoft la classe seulement comme importante  parce que l’exploit oblige l’utilisateur à ouvrir un fichier malveillant.

De son côté, l’avis MS15-034 colmate une vulnérabilité de type RCE pour les serveurs. Ce bulletin traite la vulnérabilité CVE-2015-1635 située dans la pile HTTP sur Windows Server 2008 et 2012 et touche également Windows 7 et 8. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code sur un serveur web IIS via un compte utilisateur IIS.

Microsoft corrige encore IE

Ce mois-ci, MS15-032, la mise à jour cumulative pour Internet Explorer corrige pour sa part 10 vulnérabilités dont neuf sont classées critiques. Toutes les versions, de IE6 sous Windows 2003 à IE11 sous Windows 8.1, sont concernées. Le dernier avis critique MS15-035 colmate une faille dans le format des graphiques EMF qui permet aux attaquants d’exécuter l’exploit via le rendu d’un fichier graphique. Cette vulnérabilité se cantonne aux anciennes versions de Windows, telles que Windows 7, Vista, Server 2003 et 2008. Les toutes dernières versions de Windows pour poste de travail 8 et 8.1 ne sont pas affectées, pas plus que Windows Server 2008R2 et 2012.

Les autres bulletins sont de moindre gravité et traitent des vulnérabilités sous Windows, Sharepoint, .NET et Hyper-V qui devraient être résolues lors du cycle de patch normal. Notons qu’Oracle a également pré-annoncé une importante série de patchs dans sa mise à jour Critical Patch Update d’avril 2015. Avec 100 vulnérabilités corrigées à l’aide des mises à jour. Elles incluent une mise à jour critique de Java pour les postes de travail à consulter de toute urgence.