Windows, Microsoft Edge, Internet Explorer, Microsoft Office, le moteur JavaScript ChakraCore, le moteur de protection contre les logiciels malveillants, Visual Studio, ainsi que le SDK Azure IoT. Ce sont les produits concernés par le Patch Tuesday d'avril de Microsoft.

En tout, ce sont 66 vulnérabilités de sécurité, dont 23 sont jugées critiques. Il faut en outre ajouter la correction de vulnérabilités critiques affectant Flash Player d'Adobe. Il n'y a pas de signalement d'exploits 0day dans la nature.

À noter une vulnérabilité (non critique) d'élévation de privilèges qui concerne Microsoft SharePoint Enterprise Server 2016. Elle a fait l'objet d'une divulgation publique, sans toutefois une exploitation connue.

L'essentiel des vulnérabilités critiques porte une nouvelle fois sur le moteur de script et le traitement des objets en mémoire dans Microsoft Edge ou avec ChakraCore. Il y a également la correction de bugs avec Microsoft Graphics, pour Windows 7 à 10.

Pour le moteur de protection de Microsoft contre les logiciels malveillants (ce qui concerne Windows Defender), la vulnérabilité en question découverte par un membre de Project Zero de Google avait en fait déjà été corrigée en urgence la semaine dernière.

On remarquera par ailleurs l'intégration d'un correctif pour une vulnérabilité de contournement d'une fonctionnalité de sécurité dans le clavier Microsoft Wireless Keyboard 850 (non critique). Un patch pour du matériel est plutôt rare dans les fournées mensuelles de Microsoft.

Le SANS Internet Storm Center et Zero Day Initiative publient dans un tableau un récapitulatif des failles concernées par le Patch Tuesday d'avril.