Comme prévu, Microsoft a livré sa copieuse fournée de correctifs de sécurité. Un Patch Tuesday de février avec 12 mises à jour dont cinq critiques afin de combler un total de 57 vulnérabilités dans Windows, Internet Explorer, Office, Exchange et .Net Framework.

Microsoft-Patch-Tuesday-fev-2013 La firme de Redmond identifie trois mises à jour qui nécessitent un déploiement prioritaire : MS13-009, MS13-010 et MS13-020. La dernière concerne uniquement Windows XP SP3 ( dont le support arrivera à échéance en avril 2014 ) tandis que les deux premières s'appliquent à toutes les versions d'Internet Explorer ( IE10 compris ).

MS13-009 concentre la correction de 13 failles. Une exploitation permet une exécution de code à distance et la possibilité pour un site Web malveillant de parvenir à l'installation d'un malware. Toutes les vulnérabilités ont été divulguées à Microsoft de manière confidentielle. Pas d'attaque en cours a priori, mais cela n'est désormais plus qu'une question de temps.

MS13-010 corrige une vulnérabilité également signalée confidentiellement et liée à l'implémentation de VML ( Vector Markup Language ). Microsoft dit ne pas avoir détecté une exploitation active de la faille. Wolfgang Kandek de Qualys affirme pourtant que la vulnérabilité est actuellement exploitée.


Adobe aussi et prochainement Oracle
Pour la seconde fois en l'espace d'une semaine, Adobe publie en outre une mise à jour pour Flash Player avec la correction de 17 vulnérabilités de sécurité. Contrairement à la publication précédente, elle n'a pas lieu en urgence, et donc le signe que les failles ne sont pas activement exploitées.

La mise à jour pour Flash Player va de pair avec la publication d'une version 11.6 et celle d'une nouvelle version d'AIR ( 3.6 ). Comme à l'accoutumée, il est possible de vérifier sa version de Flash Player installée en se rendant sur cette page. IE10 et Google Chrome - qui intègrent nativement Flash Player - ont été mis à jour en fonction.

À noter par ailleurs qu'Adobe mène des investigations au sujet d'une vulnérabilité dans Adobe Reader et Acrobat XI qui fait l'objet d'une exploitation.

La semaine prochaine, c'est Java qu'il faudra à nouveau mettre à jour afin de compléter la mise à jour critique de février ( publiée en urgence ).