Microsoft livre son gros Patch Tuesday

Pas moins de 10 mises à jour de sécurité pour combler un total de 34 vulnérabilités dans Windows, Microsoft Office ( dont SharePoint ), Internet Information Services, .Net Framework ainsi qu'Internet Explorer. C'est donc du " lourd " pour ce Patch Tuesday de juin qui devient le plus imposant de l'année en cours.

Parmi toutes ces mises à jour, trois sont classées critiques et sont donc à déployer en priorité. L'une d'elles est une mise à jour cumulative pour le navigateur Web Internet Explorer ( MS10-035 ) avec un lot de 6 vulnérabilités mais une seule a été révélée publiquement. Les versions 6, 7 et 8 d'IE sont concernées et ce pour tous les Windows supportés.

Selon Microsoft, les vulnérabilités les plus graves d'IE pourraient permettre l'exécution de code à distance via une page Web spécialement conçue. Comme toujours, l'impact de l'exploitation est moindre sur des comptes configurés avec des privilèges moins élevés.

On notera par ailleurs que Microsoft a fini par corriger la vulnérabilité exploitée par un chercheur en sécurité pour décrocher 10 000 $ dans le cadre du concours Pwn2Own ( fin mars ). Peter Vreugdenhil avait contourné les technologies de protection ( Data Execution Prevention ) et ASLR  ( Address Space Layout Randomization ) de Windows 7 pour tirer parti d'une faille dans IE8 afin de prendre le contrôle d'un ordinateur. Apple pour Safari et Mozilla pour Firefox avaient déjà mis à jour leurs navigateurs suite à leurs faiblesses révélées lors du concours.

Les deux autres mises à jour critiques sont :

• MS10-033 : corrige une faille dans Quartz.dll et Asycfult.dll pour toutes les versions supportées de Windows.
• MS10-034 : mise à jour cumulative de kill bits ActiveX ( empêcher l'exécution de contrôles vulnérables dans IE ) qui est critique pour Windows 2000, XP, Vista et 7.

On pourra consulter la longue synthèse des bulletins de sécurité de Microsoft pour juin 2010 sur cette page.