Pour une douzaine de produits différents*, Microsoft corrige en ce mois de mai un total de 111 vulnérabilités de sécurité. Une nouvelle fois, c'est un Patch Tuesday volumineux, dans la lignée de ceux de mars et avril avec respectivement 115 et 113 vulnérabilités.

Sur les 111 bugs de sécurité corrigés, 16 sont critiques. C'est par exemple le cas avec des vulnérabilités d'exécution de code à distance dans Microsoft Color Management (ICM32.dll) et Windows Media Foundation pour Windows pouvant être exploitées via un site web ou fichier malveillant spécialement formé.

Pour autant, les exploitations sont jugées " moins probables. " Cela signifie que Microsoft a déterminé que si un code exploit peut être créé, un attaquant aurait des difficultés à le faire. Pour les vulnérabilités critiques, il n'y a qu'avec une faille touchant Internet Explorer qu'une exploitation est dite " plus probable " par un attaquant moins expert.

Quoi qu'il en soit, et ce pour l'ensemble des vulnérabilités (critiques ou non), Microsoft ne fait pas état d'une quelconque divulgation publique ou d'une exploitation active. Il n'y a donc pas de 0day comme cela avait par contre été le cas lors des deux précédents gros Patch Tuesday.

Il est pour rappel question de 0day lorsque des vulnérabilités ont été activement exploitées dans des attaques alors qu'il n'y avait pas de correctifs à disposition.

Pour en faciliter la consultation, Zero Day Initiative (Trend Micro) publie un tableau récapitulatif des vulnérabilités de mai. À noter que des bugs de sécurité touchent Windows 7. Ce système d'exploitation n'est plus en cours de support, hormis pour des entreprises moyennant paiement (pas de patch pour le grand public).

* Windows, Microsoft Edge (base Chromium et EdgeHTML), ChakraCore (moteur JavaScript), Internet Explorer, Microsoft Office et Office Services et Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, .NET Framework, .NET Core et Power BI.