La firme de Redmond a prévu de faire exception à son Patch Tuesday du deuxième mardi de chaque mois comme elle le fait dans de rares cas. Mardi 28 juillet 2009, Microsoft va mettre en ligne deux mises à jour de sécurité afin de combler plusieurs vulnérabilités. Ces deux mises à jour s'adresseront à Internet Explorer et Visual Studio.

Si Microsoft ne livre que peu de détails, la rareté d'une telle publication laisse supposer un problème de sécurité relativement sérieux pour une vulnérabilité dite critique d'exécution de code à distance dans Internet Explorer, et de même type mais modérée dans Visual Studio.

En ce qui concerne le célèbre navigateur Web, toutes les versions supportées sont concernées, à savoir IE6, 7 et 8. Pour Windows XP mais aussi Windows Vista, la vulnérabilité est qualifiée de critique, tout comme pour Windows 2000. Elle est modérée pour Windows Server 2003 et 2008, alors que le cas de Windows 7 n'est pas mentionné. Pour Visual Studio, la vulnérabilité est qualifiée de modérée avec Visual Studio .NET 2003, 2005 et 2008, et Visual C++ 2005 et 2008.

Microsoft qui se refuse à en dire plus, précise tout de même que la mise à jour Visual Studio corrigera un problème affectant certains types d'applications. La mise à jour Internet Explorer fournira pour sa part des mécanismes de défense afin d'ajouter des protections supplémentaires vis-à-vis des problèmes corrigés par la mise à jour Visual Studio. Mais la mise à jour IE corrigera également des vulnérabilités critiques non liées à Visual Studio.

Reste alors les spéculations avec l'une d'entre elles qui tient la corde. Pour Internet Explorer, le dernier Patch Tuesday n'aurait pas complètement corrigé une vulnérabilité de sécurité. En l'occurrence, il s'agirait de la vulnérabilité ActiveX vidéo, un composant conçu pour être instancié dans IE.


Le préavis de bulletin de sécurité de Microsoft