Si urgence il y avait cette fois-ci, c'était surtout pour corriger une vulnérabilité de sécurité 0-day via laquelle des attaques informatiques ont eu lieu. En l'occurrence, cette vulnérabilité n'affecte que les versions 6 et 7 d'Internet Explorer et donc pas la version 8 que Microsoft continue de conseiller afin de bénéficier d'une meilleure protection. Ladite faille implique la bibliothèque logicielle iepeers.dll.
La mise à jour est néanmoins cumulative et comble d'autres vulnérabilités. Elles auraient dû l'être le 13 avril prochain mais Microsoft a fait d'une pierre deux coups. Ces vulnérabilités sont au nombre de neuf ( principalement de corruption de mémoire ) et parfois critiques avec également IE8 touché. La grosse différence est qu'elles ont été portées à la connaissance de Microsoft de manière confidentielle et n'ont donc pas fait l'objet d'une divulgation publique.
Microsoft détaille le contenu de cette mise à jour dans son bulletin de sécurité MS10-018 et a réalisé le tableau ci-dessous pour rendre compte des versions d'IE affectées ou non ( l'astérisque correspond à la vulnérabilité actuellement exploitée par des attaquants ) :
Interrogé sur la correction de la vulnérabilité utilisée dans le cadre du concours de hacking Pwn2Own, Microsoft a indiqué que le problème est à l'étude et n'a pas encore été corrigé. Rappelons que les vulnérabilités utilisées dans ce concours ont été rapportées aux éditeurs concernés de manière responsable comme aime à le souligner Microsoft : pas de divulgation publique.
