Microsoft publie 14 bulletins de sécurité, dont six critiques, afin de corriger un peu moins de 70 vulnérabilités affectant Microsoft Edge, Internet Explorer, Windows, Office et SQL Server. Parmi celles-ci, la vulnérabilité référencée CVE-2016-7255 qui a suscité la polémique.
La faille a été divulguée publiquement la semaine dernière par Google qui avait constaté une exploitation active dans des attaques. Microsoft n'a pas du tout apprécié l'attitude de Google. La vulnérabilité aurait été exploitée par le groupe de cyberespionnage russe Fancy Bears (ou Strontium) en association avec une vulnérabilité dans Flash Player.
Google avait d'abord alerté Adobe et Microsoft en privé. Adobe a publié un patch en urgence, tandis que Microsoft a donc attendu le deuxième mardi du mois. Google n'avait de son côté pas attendu ce rendez-vous mensuel pour tout dire sur la faille.
Microsoft réitère que les utilisateurs de Windows 10 Anniversary Update et de Microsoft Edge étaient protégés. Quoi qu'il en soit, et indépendamment de ce que l'on peut penser de l'attitude de Google, la faille dispose désormais du correctif idoine à appliquer sans tarder.
Une vulnérabilité critique (CVE-2016-7256) de type exécution de code à distance pour les polices OpenType et affectant Windows (le composant Microsoft Graphics) fait également l'objet d'attaques. Par contre, elle n'a pas été divulguée publiquement par le chercheur en sécurité coréen qui a prévenu Microsoft.
