Patch Tuesday : IE et Windows toujours en mode critique

Jacques Cheminat,
Internet Explorer 10, Microsoft, navigateur web © Maxx-Studio - Shutterstock

Attendu la semaine prochaine, Microsoft a donné les indications sur son Patch Tuesday du mois de juillet 2014. 6 bulletins de sécurité sont attendus dont deux classés comme critiques avec un focus sur IE et Windows.

La période estivale semble alléger les mises à jour de sécurité de Microsoft. La firme vient de publier sa notification sur son prochain Patch Tuesday qui sera téléchargeable le 8 juillet prochain. Ce mois-ci, l’éditeur va publier 6 bulletins de sécurité contre 8 le mois dernier.

Deux de ces bulletins sont classés comme critiques, la plus haute distinction dans le palmarès de Microsoft. Le premier vise Internet Explorer et touche la totalité des versions du navigateur, de IE 6 (mais seulement pour Windows Server 2003 qui, contrairement à Windows XP, est encore supporté par la firme de Redmond) jusqu’à IE 11 pour Windows 8.1. Pour Wolfgang Kandek, CTO de Qualys, « ce patch doit être placé numéro dans la liste des correctifs à appliquer, au regard de la variété des attaques recensées sur le navigateur ». Il cite à l’appui le rapport du SIR de Microsoft qui montre les différents angles d’attaques sur le navigateur (Java ou Flash par exemple). L’autre bulletin classé comme critique affecte toutes les versions desktop  de Windows (Vista, 7, 8 et RT). Sur la partie serveur, l’ensemble des versions sont aussi concernées sauf les différentes déclinaisons de Windows Server 2003.

Des bulletins importants et modérés

Les bulletins 3, 4 et 5 sont classés comme importants et Wolgang Kandek constate qu’il s’agit pour tous « d’élévation de privilèges » pour toutes les versions de Windows. « Il s’agit de vulnérabilités locales. Ces exploits sont en général intégrés dans des boîtes à outil utilisés par les cybercriminels pour voler des données sur les PC », explique le responsable.

Enfin le dernier bulletin est classé comme « modéré » corrige un risque de déni de service dans le Service Bus de Windows. Ce composant est utilisé dans l’environnement du cloud Windows Azure. Ce service se définit comme « une infrastructure de messagerie située entre les applications pour leur permettre d’échanger des messages ». Le CTO de Qualys estime que seule certaines entreprises ayant déployé Azure seront concernées par ce correctif.

A lire aussi :

Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP

© Maxx-Studio – Shutterstock