Microsoft propose sa fournée mensuelle de correctifs de sécurité. Un Patch Tuesday avec un total de 88 vulnérabilités comblées (Zero Day Initiative), dont 21 critiques. Les produits concernés sont Windows, Microsoft Edge, Internet Explorer, Office, ChakraCore, Skype for Business et Microsoft Lync, Exchange Server et Azure.
Les vulnérabilités critiques sont principalement en lien avec les navigateurs de Microsoft et les moteurs de script, notamment le moteur JavaScript ChakraCore de Microsoft Edge. Il y a également trois vulnérabilités critiques affectant le système de virtualisation Hyper-V.
Pour autant, il n'y a pas de rapport d'une quelconque exploitation dans la nature, et ce même si quatre vulnérabilités - jugées non critiques - ont fait l'objet d'une divulgation publique. Ces dernières sont en relation avec les trouvailles de SandboxEscaper qui poursuit du reste ses divulgations " sauvages. "
SandboxEscaper just released this video as well as the POC for a Windows 10 priv esc pic.twitter.com/IZZzVFOBZc
— Chase Dardaman (@CharlesDardaman) 21 mai 2019
Microsoft publie par ailleurs plusieurs avis de sécurité. L'un d'eux est pour la désactivation de la possibilité d'utiliser certaines clés de sécurité FIDO en raison d'un problème touchant le Bluetooth Low Energy (BLE). Il a été à l'origine du rappel par Google de clés de sécurité Titan en édition Bluetooth.
Un autre avis de sécurité concerne des corrections de vulnérabilités dans HoloLens pouvant permettre à un attaquant non authentifié à proximité d'opérer un déni de service ou de compromettre un appareil. Une mise à jour du firmware Broadcom (chipset sans fil) est prodiguée.
À noter par ailleurs qu'il y a l'intégration d'un patch d'Adobe pour Flash Player.