Comme prévu, Microsoft publie neuf mises à jour de sécurité dans le cadre de son Patch Tuesday d'avril 2013. Elles comblent un total de 14 vulnérabilités dans Windows, Internet Explorer, Office, SharePoint ou encore l'antimalware Windows Defender pour Windows 8 et RT. Un dernier outil qui a récemment eu les honneurs des évaluations d'AV-Test.

La firme de Redmond a identifié deux mises à jour critiques pour des exécutions de code à distance et dont le déploiement est prioritaire. MS13-029 corrige une vulnérabilité signalée confidentiellement dans le client Bureau à distance de Windows. Sont principalement concernés Windows XP, Vista et Windows 7. Le problème réside dans le contrôle ActiveX Remote Desktop (mstscax.dll).

Microsoft-Patch-Tuesday-avril-2013 La deuxième mise à jour critique est MS13-028. Il s'agit d'une mise à jour cumulative pour Internet Explorer. Elle concerne toutes les versions supportées d'IE, soit de IE6 à IE10 et pour tous les Windows. L'indice d'exploitabilité est de 2, ce qui implique que le code d'exploitation serait difficile à concevoir.

Ce sont deux vulnérabilités pour IE qui ont été rapportées confidentiellement à Microsoft par des chercheurs en sécurité de Google. Surprise... pas de correction pour les vulnérabilités utilisées lors du concours de hacking Pwn2Own début mars. VUPEN Security confirme que ses exploits 0-day sont toujours d'actualité.

Mozilla pour Firefox et Google pour Google Chrome avaient proposé des correctifs de sécurité dans les 24 heures après l'exploitation de failles dans le Pwn2Own. Mais pour Microsoft, il n'y a pas d'urgence.

Comme pour "l'omission" dans le Patch Tuesday de mars, Microsoft justifie travailler avec la communauté de la sécurité afin de protéger ses clients et rappelle que les organisateurs du Pwn2Own ne divulguent pas publiquement les problèmes identifiés lors du concours. Pour le moment, Microsoft n'a pas connaissance d'une quelconque attaque et estime que les failles ne devraient pas affecter ses clients. Alors à quand une correction ?

Le géant du logiciel rappelle par ailleurs que Windows XP prend sa retraite définitive dans un an, le 8 avril 2014. Dès lors, il n'y aura plus aucune mise à jour sécurité.