Ce mois-ci, la mise à jour de Microsoft vient encore résoudre des problèmes de sécurité. Cette série de correctifs concerne le navigateur web maison Internet Explorer (IE) et les versions serveur et desktop de Windows. En tout, le Patch Tuesday de juillet, livré traditionnellement le deuxième mardi de chaque mois, comporte six avis. Deux correctifs sont qualifiés de « critiques », ce qui signifie que les failles identifiées, l'une dans IE et l'autre dans Windows, peuvent être facilement exploitées par des attaquants malveillants pour compromettre les systèmes. Trois autres correctifs sont qualifiés d'« importants » et un dernier est qualifié de « modéré ». Ceux-ci concernent Windows et le composant de messagerie de Windows Server. Un avis unique peut éventuellement couvrir plusieurs correctifs pour un seul logiciel. Wolfgang Kandek, Chief Technology Officer (CTO) de l'entreprise de sécurité Qualys, conseille aux administrateurs de considérer en priorité les correctifs pour Internet Explorer. La mise à jour MS-14-037 pour IE corrige une vulnérabilité révélée publiquement et 23 vulnérabilités rapportées confidentiellement à l'éditeur. En effet, les correctifs critiques de cette série concernent tous des vulnérabilités pouvant permettre l'exécution de code à distance. Notamment, un attaquant pourrait s'octroyer des privilèges en incitant un utilisateur à consulter, avec Internet Explorer, une page Web spéciale pour infecter sa machine.

Internet Explorer toujours révisé par les patchs de Microsoft

Quant à la mise à jour critique MS14-038 pour Windows, elle corrige une vulnérabilité dans la façon dont Windows traite les fichiers au format Windows Journal. Celle-ci pourrait également permettre l'exécution de code à distance. Windows Journal de Microsoft sert à capturer des notes manuscrites sur un ordinateur. Le logiciel peut être utilisé sur des appareils tactiles et sur des machines Windows non tactiles pour lire les documents enregistrés dans ce format de fichier. « Une entreprise qui n'utilise pas le format Journal a tout intérêt à désactiver cette fonction afin de réduire la « surface d'attaque » des ordinateurs Windows », conseille encore Wolfgang Kandek. « De façon générale, si un administrateur a du temps pour le faire, mieux vaut désactiver les services inutiles », ajoute-t-il. Et, puisque que les administrateurs sont en phase de test et de déploiement de correctifs, ils devraient également considérer de près les correctifs critiques émis hier par Adobe pour son lecteur Flash. De même, ils pourront avoir accès, dès jeudi, à la série de correctifs livrés chaque trimestre par Oracle.

IE représente toujours une part importante des correctifs du Patch Tuesday. Cela ne signifie pas pour autant que le logiciel comporte plus de bogues que les autres logiciels de Microsoft. Mais, comme il est très répandu, il représente un point d'entrée de choix pour les pirates qui cherchent à s'introduire dans les ordinateurs exécutant le navigateur. C'est pourquoi il fait toujours l'objet de beaucoup d'attention, aussi bien de la part des chercheurs en sécurité que des attaquants. « IE ne comporte pas plus de vulnérabilités que les autres navigateurs populaires comme Chrome de Google ou Mozilla de Firefox. Ces deux éditeurs ont choisi un système de mises à jour automatiques pour leurs navigateurs, et une vulnérabilité peut être corrigée très rapidement, dès que les développeurs ont créé le patch nécessaire », fait remarquer Amol Sarwate, directeur du Vulnerability Labs de Qualys. « Si bien qu'il est rarement fait mention de ces bogues et de leurs correctifs dans la presse, sauf si les vulnérabilités sont jugées critiques ».