Pour son Patch Tuesday de juin, Microsoft livre cinq bulletins de sécurité. Ils contiennent des rustines pour le comblement de 23 vulnérabilités dans Windows, Internet Explorer et Office. Sur ces 23 failles, 19 affectent le navigateur Web. Un seul bulletin est critique et il s'adresse justement à Internet Explorer.

La mise à jour cumulative pour IE brasse toutes les versions du navigateur allant de IE6 à IE10 et ce pour Windows XP à Windows 8. Les vulnérabilités permettent une exécution de code à distance si un utilisateur consulte une page Web spécialement conçue.

À n'en pas douter, cette mise à jour cumulative est la plus prioritaire à appliquer. Néanmoins, Microsoft considère également que la mise à jour MS13-051 est à déployer en priorité. Elle concerne une vulnérabilité dans Office permettant une exécution de code à distance si un utilisateur ouvre un document spécialement conçu voire prévisualise ou ouvre un email dans Outlook via Word comme éditeur de messages.

Le spectre des logiciels touchés est restreint. Il s'agit d'Office 2003 et Office pour Mac 2011 mais des attaques ciblées ont été repérées. La vulnérabilité a néanmoins été rapportée de manière confidentielle par Google selon qui les attaques sont probablement soutenues par une nation. Encore...

Microsoft-Patch-Tuesday-juin-2013

Soulignons que toutes les failles du Patch Tuesday de juin ont été signalées confidentiellement. Cela veut dire qu'il n'y a pas de correction pour la divulgation publique de Tavis Ormandy qui travaille accessoirement... chez Google. Mi-mai, il a publié une vulnérabilité dans le noyau Windows mais uniquement exploitable en local.