Le Patch Tuesday de ce mois d'avril est léger. Quatre mises à jour dont deux critiques avec pour objectif de combler un total de onze vulnérabilités de sécurité dans Windows, Internet Explorer et Office.

Le fait marquant est toutefois que Windows XP et Office 2003 ont droit à leurs ultimes correctifs. Alors que des gouvernements et grands comptes ont négocié du support personnalisé avec Microsoft, le commun des utilisateurs sous Windows XP n'aura désormais plus droit à la moindre rustine pour colmater une faille.

Après des débuts sur le marché en octobre 2001 et la publication de trois Service Packs, le système d'exploitation dont la part d'utilisateurs dans le monde est encore supérieure à 27 % a atteint sa fin de vie.

Depuis Windows XP, d'autres systèmes d'exploitation Windows ont fait leur apparition avec le mal-aimé Windows Vista, le populaire Windows 7 et Windows 8.x qui a introduit le nouvel environnement Modern UI parfois jugé disruptif par les utilisateurs de PC classique. Microsoft tente d'aplanir les angles avec Windows 8.1 Update.

Mais Vista, Windows 7 et 8.x ont pour point commun d'avoir une architecture mieux pensée pour faire face aux menaces de sécurité actuelles, alors que la conception de Windows XP a débuté à une époque où la présence d'Internet était très timide. Selon le rapport de sécurité de Microsoft pour le premier semestre 2013, le taux d'infection par des malwares de Windows XP est bien plus élevé que pour ses successeurs, et ce même si par exemple Windows 7 est confronté à plus de menaces que XP.

Microsoft-SIR-Windows-Taux-infection
Pour revenir au Patch Tuesday de ce mois, une mise à jour critique corrige six vulnérabilités signalées de manière confidentielle à Microsoft et présentes dans Internet Explorer. Toutes les versions de IE6 à IE11 ne sont pas concernées puisque IE10 fait exception. À souligner que la fin de support de Windows XP signifie également que IE6 (uniquement compatible avec XP) à IE8 n'y recevront plus de patchs.

La deuxième mise à jour critique était attendue. Elle corrige deux vulnérabilités signalées confidentiellement et surtout une vulnérabilité divulguée publiquement dans Microsoft Office. Pour cette dernière, ce sont les versions de Word 2007 à 2013 qui sont affectées, ainsi que les Office Web Apps (devenues Office Online depuis peu).

Fin mars, Microsoft avait indiqué l'exploitation de cette vulnérabilité dans des attaques via l'ouverture d'un fichier RTF dans Word ou avec la visionneuse par défaut d'Outlook.

Patch-Tuesday-avril-2014