Parmi toutes ces mises à jour, trois sont classées critiques et sont donc à déployer en priorité. L'une d'elles est une mise à jour cumulative pour le navigateur Web Internet Explorer ( MS10-035 ) avec un lot de 6 vulnérabilités mais une seule a été révélée publiquement. Les versions 6, 7 et 8 d'IE sont concernées et ce pour tous les Windows supportés.
Selon Microsoft, les vulnérabilités les plus graves d'IE pourraient permettre l'exécution de code à distance via une page Web spécialement conçue. Comme toujours, l'impact de l'exploitation est moindre sur des comptes configurés avec des privilèges moins élevés.
On notera par ailleurs que Microsoft a fini par corriger la vulnérabilité exploitée par un chercheur en sécurité pour décrocher 10 000 $ dans le cadre du concours Pwn2Own ( fin mars ). Peter Vreugdenhil avait contourné les technologies de protection ( Data Execution Prevention ) et ASLR ( Address Space Layout Randomization ) de Windows 7 pour tirer parti d'une faille dans IE8 afin de prendre le contrôle d'un ordinateur. Apple pour Safari et Mozilla pour Firefox avaient déjà mis à jour leurs navigateurs suite à leurs faiblesses révélées lors du concours.
Les deux autres mises à jour critiques sont :
- MS10-033 : corrige une faille dans Quartz.dll et Asycfult.dll pour toutes les versions supportées de Windows.
- MS10-034 : mise à jour cumulative de kill bits ActiveX ( empêcher l'exécution de contrôles vulnérables dans IE ) qui est critique pour Windows 2000, XP, Vista et 7.
On pourra consulter la longue synthèse des bulletins de sécurité de Microsoft pour juin 2010 sur cette page.
