Patch Tuesday : Correctifs musclés en mai pour IE, année record prévue

La semaine dernière, Microsoft avait laissé entendre que les Patch Tuesday, le lot de correctifs de sécurité pour les différents produits de la firme vivaient leurs dernières heures avec l’arrivée de Windows 10. Ce dernier bénéficierait d’une mise à jour au fil de l’eau, en 24/7. Les entreprises garderont la possibilité d’être sur un rythme mensuel.

En attendant cette bascule, le Patch Tuesday continue d’être actif et même très actif si l’on en croit les experts en sécurité lors de la publication du mois de mai. En effet, on dénombre 13 bulletins de sécurité dont 3 classés comme critiques et 10 sont considérés comme importants, pour un total de 38 vulnérabilités fixées. Pour Wolfgang Kandek, CTO de Qualys, « je ne me souviens pas d’une année aussi active sur les 5 dernières années. Avec 53 bulletins déjà enregistrés depuis le début de l’année, les prévisions de bulletins de sécurité émis par Microsoft pour l’année 2015 devraient atteindre les 140, un record ».

Pour le mois de mai, les responsables informatiques des entreprises devront s’attarder en priorité au bulletin MS15-043 qui corrige 22 vulnérabilités dans IE dont 14 concernent des corruptions mémoires. Ce package corrige plusieurs types d’attaques permettant l’exécution de code à distance. Toutes les versions d’IE sont concernées allant de 6 à 11 fonctionnant sous Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Vista, Windows 7 et Windows 8/8.1.

Word, Excel et SharePoint sur la sellette

Parmi les autres bulletins critiques, le premier, MS15-044, concerne des failles critiques dans le code de rendu des polices OpenType et TrueType. Elles touchent Windows, .NET Framework, Office, Lync et Silverlight. Le second corrige 6 vulnérabilités dans Windows Journal, une application de prise de note, qui selon les experts en sécurité ne semble pas beaucoup utilisée. Une simple désactivation de l’application peut être envisagée, souligne un spécialiste.

Sur les 10 autres bulletins de sécurité classés critiques, Wofgang Kandek met l’accent sur le MS15-046 qui bloque des failles dans les formats de fichiers dans Word et Excel. Les attaquants pourraient utiliser ces bugs pour obtenir le contrôle de la machine. Le bulletin MS15-047 est aussi à regarder de près en touchant Sharepoint Server avec un risque d’exécution de code à distance.