La firme de Redmond propose sept mises à jour de sécurité pour ce mois de juin dont deux critiques. Cette fournée mensuelle de correctifs vise à combler un total de 66 vulnérabilités dans Windows, Office, Live Meeting, Lync et surtout Internet Explorer.
Il est en effet question de record pour le navigateur de Microsoft avec pas moins de 59 vulnérabilités corrigées par le biais d'une unique mise à jour. Toutes les versions de IE6 à IE11 sont concernées. La mise à jour cumulative est critique sur les clients Windows et importante sur les serveurs Windows.
C'est donc du lourd pour IE même si une bonne nouvelle est que sur toutes les failles identifiées, seules deux ont fait l'objet d'une divulgation publique dont celle affectant IE8 qui a été éventée par ZDI de HP après sa politique de 180 jours de confidentialité.
Surtout, Microsoft prend bien soin de détailler qu'aucune vulnérabilité n'a fait l'objet d'une exploitation dans des attaques pour le moment. Mieux vaut en effet le préciser car annoncer 59 vulnérabilités pour IE… cela fait plutôt mauvais genre.
Dans le même temps, Microsoft recommande fortement aux utilisateurs de Windows 7 et Windows 8.1 de passer à IE11, soit la dernière version disponible du navigateur. À chaque nouvelle version, des protections de sécurité sont ajoutées nativement dans IE :
Pour autant, cela n'empêche pas de constater que IE11 a aujourd'hui droit à 47 patchs alors que c'est moitié moins pour IE8. De quoi brouiller un tantinet le message que veut faire passer Microsoft. Manifestement, les découvreurs de failles sont prolifiques, probablement aidés par des outils de plus en plus sophistiqués. On peut aussi le constater avec Chrome. Ces dernières semaines, le nombre de corrections de sécurité pour le navigateur de Google a aussi pris un sérieux embonpoint.
Outre MS14-035 pour IE, l'autre mise à jour critique est MS14-036 qui corrige deux vulnérabilités d'exécution de code à distance - signalées confidentiellement et non exploitées - dans Windows, Office ( 2007 à 2010 ), Live Meeting 2007 et Lync ( 2010 et 2013 ). Le point commun entre ces produits est un problème au niveau du composant graphique GDI+ de Windows.
Mais contrairement à MS14-035, Microsoft ne considère pas que MS14-036 doit bénéficier d'un déploiement prioritaire. Si une autre priorité dans le déploiement doit être donnée, c'est pour la mise à jour MS14-034 à destination de Word 2007. La vulnérabilité corrigée est donc dangereuse mais considérée non critique dans la mesure où l'interaction de l'utilisateur est nécessaire pour une exploitation ( ouverture d'un fichier spécialement conçu ).
Rappelons par ailleurs une nouvelle fois que les utilisateurs de Windows 8.1 ( les particuliers et petites entreprises n'ayant pas recours à WSUS ) doivent appliquer la mise du système d'exploitation proposée depuis avril ( Windows 8.1 Update ) s'ils veulent recevoir les mises à jour de sécurité.
