Dans le cadre de son rendez-vous sécurité qui se déroule le deuxième mardi du mois, Microsoft diffuse cinq mises à jour de sécurité dont deux critiques. Elles visent à combler un total de 23 vulnérabilités dans Windows, Internet Explorer et Silverlight.

Microsoft-Patch-Tuesday-mars-2014 Le déploiement est jugé prioritaire pour MS14-012 qui est une mise à jour de sécurité cumulative pour Internet Explorer. Elle corrige 18 failles dont une a été divulguée publiquement. Pas de surprise, il s'agit de la vulnérabilité qui a été exploitée dans des attaques contre l'organisation officielle des vétérans de l'armée américaine ou une société française d'aéronautique.

La vulnérabilité affectait les versions 9 et 10 d'Internet Explorer mais les attaques connues ont concerné IE10. Elles ont impliqué l'exploitation d'une faille dans Flash Player d'Adobe qui a permis de cibler un emplacement mémoire précis.

Pour autant, MS14-012 s'applique à toutes les versions d'Internet Explorer, soit de IE6 à IE11. La mise à jour est considérée critique pour IE sur toutes les versions clientes de Windows. À noter par ailleurs qu'une vulnérabilité rapportée confidentiellement à Microsoft et touchant IE8 - le navigateur actuellement le plus utilisé au monde - a été utilisée dans des attaques dites très limitées.

L'autre mise à jour critique est MS14-013. À l'exception de Windows RT et Server 2008, toutes les versions de Windows sont concernées par une vulnérabilité dans DirectShow (divulguée confidentiellement). Il s'agit d'une API pour le traitement de fichiers ou flux (streaming) multimédia.

Même si elle a fait l'objet d'une divulgation publique, une vulnérabilité d'élévation de privilèges dans Windows et corrigée avec MS14-015 ne vaut pas un niveau de dangerosité critique.

On notera qu'il s'agit de l'avant-dernier Patch Tuesday pour Windows XP. Le mardi 8 avril prochain, le système d'exploitation dont la part d'utilisateurs avoisine encore 29,5 % aura droit à la Der des Ders en matière de correctifs de sécurité.

Ce Patch Tuesday de mars montre une nouvelle fois que comme les versions de Windows partagent un même socle de code, des vulnérabilités dans une version se retrouvent dans une autre. Après le 8 avril, les attaquants pourront donc se pencher sur les correctifs diffusés pour une version plus récente de Windows afin de cibler ultérieurement Windows XP qui gardera les " portes ouvertes " même si des solutions antivirus feront barrage à des malwares connus.