Comme prévu, Microsoft a mis en ligne deux mises à jour de sécurité à destination d'Internet Explorer et de Visual Studio. Une publication hors cycle, à savoir intervenant en dehors du Patch Tuesday, à l'instar de ce que Microsoft avait fait fin octobre 2008 pour combler une vulnérabilité exploitée par le ver informatique Conficker. Ayant eu connaissance d'une attaque, Microsoft a préféré ne pas attendre le 11 août prochain pour diffuser ses correctifs.
Dans son bulletin de sécurité MS09-035 dit modéré, Microsoft indique que trois vulnérabilités ont été identifiées dans Active Template Library, un composant intégré à Visual Studio. Ces vulnérabilités peuvent être exploitées pour une exécution de code à distance. La mise à jour concerne Visual Studio 2005 et 2008 afin de permettre aux développeurs de concevoir de nouveaux contrôles et composants avec une copie non vulnérable de ATL.
Si le navigateur Internet Explorer n'est pas lui-même directement concerné par les problèmes dans ATL, via son bulletin de sécurité MS09-034 dit critique, Microsoft précise avoir mis en œuvre des mécanismes de défense afin de protéger les utilisateurs contre des tentatives d'attaques exploitant les vulnérabilités ATL. Des attaques utilisant Internet Explorer comme vecteur.
La mise à jour Internet Explorer est cependant cumulative et corrige également trois vulnérabilités dans le navigateur ( non liées à ATL ) pouvant conduire à une exécution de code à distance lors de la consultation de pages Web spécialement conçues. Toutes les versions d'Internet Explorer supportées sont concernées, quel que soit le système d'exploitation Windows ; une exception notable cependant avec IE8 sous Windows 7.
