Microsoft a annoncé que son prochain Patch Tuesday comprendra 12 mises à jour de sécurité qui vont corriger 57 vulnérabilités dans IE, Windows, Office et Exchange. « Ce sont des chiffres importants » souligne Andrew Storms, directeur technique de nCircle. Le nombre de correctif s'approche du record de 64 présentés en avril 2011.

Parmi les 12 bulletins de sécurité, 5 sont classés comme critique, critère le plus élevé dans le classement de Microsoft. Les autres mises à jour sont classées comme importantes. 2 des 5 mises à jour critiques portent sur des failles dans Windows Service Pack 3 et Vista. Sur les mises à jour importantes, 5 ont une incidence sur Windows 7 4 sur Windows 8 et 3 chacun pour Windows XP SP3 et Windows RT.

Les correctifs pour IE en question

Mais ce qui retient l'attention d'Andrew Storm ce sont deux bulletins distincts pour IE classés comme critiques et qui corrigent les versions 6,7, 8, 9 et 10 du navigateur. Pour le spécialiste de la sécurité, « c'est la première fois que je vois Microsoft faire cela. S'il y a eu auparavant des mises à jour à la volée pour IE, ils n'ont jamais publié plus d'un bulletin par mois ». Il s'interroge donc sur le fait de diviser ces mises à jour, plutôt que de proposer un seul et plus grand bulletin de sécurité. « J'attends avec impatience un billet de blog [de Microsoft] la semaine prochaine donnant des explications », précise Andrew Storm. Pour lui, c'est l'endroit le plus probable où Microsoft donnera des précisions sur les deux mises à jour d'IE. Le dirigeant s'interroge aussi sur l'intérêt des deux bulletins pour les entreprises, est-ce un bien ou un mal. D'un côté, cela donne du travail supplémentaire, il faut réaliser deux tests, mais d'un autre côté, il est possible de privilégier une des mises à jour par rapport à l'autre en fonction des risques. Pour Andrew Storm, la réponse est peut-être qu' « une mise à jour est propre à au noyau d'IE et que l'autre est relatif à quelque chose utilisé par IE ».

Un autre expert, Paul Henry, analyste chez Lumension, estime que l'une des mises à jour serait liée aux récentes failles trouvées dans Java d'Oracle et notamment les plug-ins. « Microsoft a une relation très étroite avec Oracle et cela ne me surprendrait pas si ces mises à jour contiennent des éléments sur Java », indique le consultant dans un courriel. La semaine dernière, Oracle a publié en avance des mises à jour de sécurité corrigeant entre autres les vulnérabilités Java.

Le bulletin de sécurité numéro 5, classé comme critique, affecte Exchange Server 2007 et 2010. Microsoft n'a pas donné beaucoup de détails, mais Andrew Storm estime que la mise à jour est importante car « Exchange est une application métier critique ».