Microsoft a profité de son Patch Tuesday pour annoncer la mise en place immédiate d'une nouvelle politique de sécurité. Elle concerne les développeurs pour des applications proposées via le Windows Store, Windows Phone Store, Office Store et Azure Marketplace.

Windows-Store Lorsqu'une vulnérabilité de sécurité critique ou importante affectant une application est notifiée, les développeurs ont désormais un délai maximum de 180 jours pour agir et proposer une mise à jour correctrice.

Selon la terminologie employée par Microsoft, l'exploitation d'une vulnérabilité critique peut permettre l'exécution de code sans interaction de la part de l'utilisateur. L'exploitation d'une vulnérabilité importante peut permettre la compromission de la confidentialité, intégrité ou disponibilité des données de l'utilisateur.

Imposer un délai de correction est sans doute une bonne chose mais six mois cela paraît tout de même bien long. Sauf que ce délai s'applique pour des vulnérabilités qui ne sont pas activement exploitées. Le cas échéant, Microsoft travaillera alors avec le développeur afin qu'une mise à jour soit disponible rapidement et pourra retirer plus tôt l'application du store.

Dans tous les cas de figure, Microsoft se réserve toutefois le droit de prendre des mesures, ce qui inclut le retrait immédiat d'une application de l'un de ses stores. Le géant du logiciel souligne que jusqu'à présent, une application vulnérable n'a jamais dépassé un délai de correction de 180 jours.

Récemment, Microsoft a indiqué que le Windows Store pour Windows 8 et Windows RT a franchi le cap des 100 000 applications. Des applications qui sont soumises et acceptées peuvent être ultérieurement affectées par des failles de sécurité.