Le Patch Tuesday de mars 2013 a livré ses secrets. Au programme, sept mises à jour pour combler une vingtaine de trous de sécurité dont près de la moitié pour Internet Explorer. Quatre mises à jour critiques concernent IE, Silverlight, Visio et Sharepoint.
Contrairement à Google et Mozilla, Microsoft ne corrige pas encore les vulnérabilités découvertes lors du concours Pwn2Own. Ce que ne fait pas non plus Oracle ( Java 7 ) ou Adobe ( pour Flash Player et Reader ) en dépit d'une correction pour des vulnérabilités dans Flash Player.
MS13-021 est une mise jour cumulative pour Internet Explorer qui corrige neuf vulnérabilités dont une a été divulguée publiquement. À l'instar de Google Chrome, le composant Flash Player intégré dans IE10 bénéficie d'une mise à jour.
Cette mise à jour s'adresse à toutes les versions d'Internet Explorer allant de 6 à 10 et pour tous les systèmes d'exploitation Windows. Une exception toutefois avec IE10 pour Windows 7 dont la publication est récente ( et non affecté ).
MS13-027 est une mise à jour un peu particulière. Elle n'est pas critique mais importante. Pour autant, son déploiement est jugé prioritaire par Microsoft. Elle s'adresse à toutes les versions du système d'exploitation.
Elle corrige notamment un problème dans les pilotes en mode noyau permettant à un attaquant de prendre le contrôle d'une machine en insérant une clé USB malveillante. Une exploitation qui nécessite un accès physique mais dont Microsoft souligne l'originalité.
La vulnérabilité peut être exploitée lors du processus d'identification du périphérique par le noyau Windows et sans intervention de l'utilisateur. " La vulnérabilité peut être déclenchée quand l'ordinateur est verrouillé ou quand aucun utilisateur n'est connecté, ce qui en fait une élévation de privilège sans authentification pour un attaquant avec un accès physique occasionnel à la machine. "
La synthèse des mises à jour de sécurité de Microsoft pour mars 2013 est disponible sur cette page.
