Comme tous les deuxièmes mardi de chaque mois, il était attendu par les utilisateurs Windows et il est venu. Le Patch Tuesday d'avril 2010 de Microsoft a livré ses " secrets " avec dans sa besace pas  mois de 11 mises à jour de sécurité qui serviront à combler 25 vulnérabilités affectant toutes les versions de Windows, Microsoft Office ( XP, 2003 et 2007 pour Publisher et Visio ) ou encore Microsoft Exchange Server ( 2000, 2003, 2007 et 2010 ).

Microsoft conseille d'appliquer tous les correctifs proposés, mais si des priorités doivent être établies, elle doivent être en rapport avec trois mises à jour :

  • MS10-019 : cette mise à jour corrige deux vulnérabilités présentes dans toutes les versions de Windows, et donc Windows 7 compris. Ces vulnérabilités d'exécution de code à distance touchent la vérification Authenticode. La mise à jour ajoute des opérations de vérification lors de la signature et de la vérification d'un fichier exécutable portable ( PE ) ou fichier Cab.
  • MS10-026  : cette mise à jour est critique pour Windows 2000, XP, Server 2003 et 2008, et importante pour Windows Vista alors que Windows 7 n'est pas concerné. Une vulnérabilité d'exécution de code à distance présente dans les codecs audio Microsoft MPEG Layer-3 peut être exploitée via la consultation d'une page Web hébergeant un fichier AVI spécialement conçu.
  • MS10-027 : seuls les utilisateurs Windows 2000 et Windows XP sont concernés par une vulnérabilité critique d'exécution de code à distance qui est en réalité présente dans le lecteur Windows Media 9. La mise à jour corrige la façon dont le contrôle ActiveX du lecteur traite du contenu multimédia spécialement conçu hébergé sur un site Web malveillant.

Ci-dessous, deux graphiques portant sur l'ordre prioritaire des déploiements, un résumé des sytèmes touchés par chaque mise à jour de sécurité proposée pour ce mois :

April2010DeploymentPriority April2010WindowsBulletins

On notera que Microsoft a corrigé des vulnérabilités dans le client SMB ( Server Message Block ) qui traînaient depuis le mois de novembre 2009, de même pour une vulnérabilité dans le moteur de script VBScript dévoilée publiquement début mars ( anciennes versions de Windows ).