Comme prévu, Microsoft a livré son Patch Tuesday du mois de juin. Il est un petit peu plus touffu qu'initialement annoncé avec toujours sept mises à jour de sécurité mais pour corriger un total de 28 vulnérabilités.
Trois mises à jour sont classées critiques, Microsoft mettant particulièrement l'accent sur deux d'entre elles dans les priorités à donner au déploiement.
MS12-037 est une mise à jour cumulative pour Internet Explorer qui corrige 13 failles dont une révélée publiquement et les douze autres signalées confidentiellement à Microsoft. Pour au moins une faille, des attaquants ont donc déjà matière à préparer des assauts.
Toutes les versions de IE de 6 à 9 sont concernées. La mise à jour est de niveau critique sur les clients Windows et modéré sur les serveurs Windows. Parmi les bugs de sécurité, le plus grave permet à un attaquant d'exécuter du code à distance et obtenir les droits de l'utilisateur s'il consulte une page spécialement conçue.
Selon plusieurs experts en sécurité, la mise à jour permet de combler l'une des failles découvertes au cours du dernier concours de hacking Pwn2Own qui s'est déroulé au mois de mars dans le cadre de la conférence CanSecWest 2012.
MS12-036 corrige une faille signalée confidentiellement et présente dans la manière dont Microsoft met en œuvre le protocole RDP ( Remote Desktop Protocol ) dans Windows. Toutes les versions de l'OS sont affectées, mais par défaut ce protocole de Bureau à distance n'est pas activé. Les vecteurs d'attaque pour cette faille d'exécution de code à distance ( ou de déni de service en fonction des Windows ) sont des sites Web malveillants et l'email. En mars dernier, Microsoft avait déjà comblé une faille liée à RDP avec la crainte de la propagation d'un ver.
Les autres mises à jour pour lesquelles la priorité au déploiement baisse d'un cran concernent .NET Framework, Microsoft Dynamics, le noyau Windows et Microsoft Lync.
En plus de ces mises à jour entrant dans la tradition d'un Patch Tuesday, Microsoft annonce une amélioration pour son service de mise à jour automatique et en particulier pour les certificats non sûrs dans Windows 7 et Vista.
Cette amélioration fait suite à la découverte du malware Flame qui a été capable d'utiliser de faux certificats de sécurité pour tromper des antivirus en faisant croire que c'était un programme Microsoft authentique. Quotidiennement et de manière automatique, Windows va vérifier si des certificats n'ont pas été marqués comme non sûrs. En somme, c'est une mise à jour automatique et journalière des certificats révoqués qui est disponible.
Au mois d'août prochain, un changement va par ailleurs être opéré dans la manière dont Windows gère les certificats qui ont des clés RSA d'une longueur inférieure à 1024 bits. " Nous allons considérer tous ces certificats comme invalides, même s'ils sont actuellement valides et signés par une autorité de certification de confiance ", prévient Microsoft.