Patch Tuesday : Microsoft fait dans la faille critique

Une quarantaine de failles regroupées dans 13 bulletins, dont 3 critiques : le Patch Tuesday* du mois de mai est encore plus dense que celui d’avril.

Le nombre de correctifs diffusés depuis le début de l’année atteint des records : 55 bulletins enregistrés en 5 mois, ce n’était plus arrivé depuis au moins 2010, à en croire Wolfgang Kandek, CTO de Qualys (sécurité réseaux / systèmes).

Ce mois-ci, on surveillera tout particulièrement le bulletin MS15-043, qui couvre 22 vulnérabilités dans Internet Explorer. La plupart ont trait à des corruptions mémoire. Certaines peuvent entraîner la prise de contrôle du navigateur avec élévation de privilèges ; d’autres peuvent exposer des données stockées dans le presse-papiers. Toutes les versions d’IE encore prise en charge (de la 6 à la 11) sont concernées sur Windows (Vista, 7, 8.x) et Windows Server (2003, 2008, 2012).

Même niveau global de criticité pour le bulletin MS15-044 et ses deux failles dans le code de rendu des polices OpenType et TrueType. Windows est touché au même titre que .NET Framework, Office, Lync et Silverlight.

Quant au bulletin MS15-045, il englobe 6 brèches dans Windows Journal. D’après les experts en sécurité, cette application de prise de notes n’est pas très utilisées. Une simple désactivation peut donc être envisagée, d’autant plus que Microsoft n’a pas trouvé d’autres facteurs atténuants.

Sur les 10 autres bulletins de sécurité, on relèvera le MS15-046, qui bloque des failles dans les formats de fichiers Word et Excel ; ainsi que le MS15-047, qui touche SharePoint Server avec, comme le souligne Silicon.fr, un risque d’exécution de code à distance.

* Le modèle du Patch Tuesday vit sans doute ses dernières heures. La semaine passée, Microsoft a laissé entendre qu’avec Windows 10, les mises à jour seraient déployées « au fil de l’eau », les entreprises pouvant néanmoins rester sur un rythme mensuel.

Crédit photo : Tashatuvango – Shutterstock.com