Dans le cadre de son rendez-vous mensuel de sécurité, Microsoft corrige pour juillet un total de 54 vulnérabilités affectant Windows, Microsoft Edge, Internet Explorer, Office, Exchange et .NET Framework. Cela comprend également des rustines pour le plugin Flash Player intégré.
Selon la liste complète compilée par Zero Day Initiative, 19 vulnérabilités sont cataloguées critiques. On remarquera qu'aucune n'a fait l'objet d'une exploitation dans des attaques, même si l'une d'entre elles a été divulguée publiquement. En l'occurrence… pour la réalité mixte avec HoloLens.
Un patch comble une vulnérabilité d'exécution de code à distance lorsque HoloLens traite de manière incorrecte les objets en mémoire en raison de paquets Wi-Fi spécialement conçus. D'après ZDI, l'appareil peut être compromis en recevant simplement des paquets Wi-Fi, sans aucune forme d'authentification.
Au-delà de cette surprise avec HoloLens, Qualys met davantage en avant une vulnérabilité critique affectant le service Windows Search qui peut être exploitée à distance via le protocole SMB. Si ce protocole de partage de ressources sur des réseaux locaux a récemment fait parler de lui avec WannaCry et NotPetya (SMBv1), il n'est ici pas vulnérable (son implémentation) mais pourrait servir de vecteur d'attaque.
À noter aussi beaucoup de corrections critiques pour le moteur de script, dont en lien avec Microsoft Edge.
Avec le Patch Tuesday de juillet, la firme de Redmond indique publier des mises à jour sécurité " pour fournir des protections supplémentaires contre les attaquants malveillants. " Elle ajoute que par défaut, Windows 10 reçoit les mises à jour automatiquement, et recommande aux utilisateurs de précédentes versions d'activer les mises à jour automatiques.