Pas moins de dix mises à jour de sécurité vont être livrées par Microsoft dans son prochain « Patch Tuesday », prévu pour le mardi 8 juin 2010. Elles doivent remédier à 34 points faibles affectant le système d'exploitation Windows, le navigateur Internet Explorer, la suite bureautique Office et le portail collaboratif SharePoint. Andrew Storms, directeur des opérations de sécurité chez nCircle Security, malgré tout temporise un peu l'importance de la livraison, considérant le nombre réduit de bulletins jugés « critiques » (trois sur dix). « Cela ne me semble pas être une livraison gigantesque ».

Pourtant, 34 vulnérabilités au total à rectifier, cela équivaut au record enregistré lors du Patch Tuesday d'octobre 2009. Microsoft livre généralement de façon alternée de petites et de grosses fournées de rustines, les plus importantes arrivant les mois pairs. En mai, par exemple, l'éditeur n'a publié que deux bulletins pour corriger deux fragilités, tandis que la livraison d'avril comportait onze bulletins rectifiant vingt-cinq défauts.

Toutes les versions de Windows sont concernées

Comme d'habitude, Microsoft a publié par avance une notification afin de renseigner ses utilisateurs sur les dix mises à jour auxquelles ils doivent se préparer pour mardi prochain. Trois d'entre elles sont donc qualifiées de « critiques »,  le plus haut niveau sur l'échelle des indices de gravité établie par Microsoft (l'échelle comporte quatre niveaux : critique, important, modéré, faible). Deux se rapportent à Windows, la troisième vise Internet Explorer. Les sept autres mises à jour du Patch Tuesday sont jugées « importantes ».  

Windows Seven est concerné par l'ensemble des mises à jour qui s'appliquent au système d'exploitation. Et, à deux exceptions près, toutes les versions de Windows actuellement supportées auront besoin de l'ensemble des correctifs liés à l'OS (le bulletin 9 ne s'applique pas à 2000, ni à XP).

Illustration : extrait de la notification de Microsoft sur le Patch Tuesday du 8 juin 2010
[[page]]
Les versions 6, 7 et 8 d'Internet Explorer sont dans la boucle avec des rectificatifs critiques pour chacune sous Windows 7, Vista et XP. Seule la plus vieille mouture du navigateur encore supportée (IE 5.01 sous 2000) n'est pas touchée. « IE va se retrouver en tête de liste cette fois-ci », prévoit Andrew Storms.

Microsoft a pris l'habitude de corriger son navigateur tous les deux mois. La dernière fois remonte à fin mars, car il y avait alors urgence à intervenir sur le bug « zero-day », mais cette révision était initialement prévue pour avril.

Sur la suite bureautique Office, sont concernés Excel 2002, 2003 et 2007, sous Windows, ainsi que Excel 2004 et 2008, sur Macintosh. Excel 2010, tout juste livré avec Office 2010, ne contient pas le bug et n'a pas besoin de correctif, a confirmé Jerry Bryant, directeur général du MSRC, le centre de sécurité de l'éditeur, par courriel hier.

SharePoint Server 2007,
vulnérable au bug « zero-day »  

Enfin, L'éditeur de Redmond rectifie aussi un problème identifié sur SharePoint Server 2007, révélé en avril. Le bug « zero-day » pourrait être exploité pour mettre la main sur des informations confidentielles au sein des entreprises. Andrew Storm recommande de faire attention au bulletin 3. Il est en effet jugé « critique » pour Windows 2000, XP, Vista et Windows 7. Pour la partie serveur de l'OS, en revanche, il est qualifié de « modéré ». « Côté client en revanche, il faudra faire la mise à jour aussi vite que pour IE la semaine prochaine », conseille le directeur des opérations de sécurité chez nCircle Security. 

Les mises à jour de juin seront les avant-dernières pour Windows 2000 et Windows XP SP2. Ces deux versions seront en effet retirées du support de sécurité à la mi-juillet.
Les correctifs seront livrés à 19 heures (heure française) le 8 juin 2010 (1 p.m. ET).