Microsoft diffuse ses mises à jour de sécurité dans le cadre de son Patch Tuesday de septembre. Un total de 13 bulletins de sécurité - dont quatre critiques - afin de combler 47 vulnérabilités dans divers produits, à savoir Windows, Office, Internet Explorer et SharePoint.

Microsoft-Patch-Tuesday-septembre-2013 La firme de Redmond a identifié trois bulletins dont le déploiement est jugé prioritaire. Le premier d'entre eux est MS13-068 qui comble une vulnérabilité critique d'exécution de code à distance (corruption de mémoire).

Signalée confidentiellement, son exploitation ne nécessite pas d'interaction de l'utilisateur mais simplement une prévisualisation d'un message dans Outlook 2007 et 2010. Elle s'appuie sur la manière dont Outlook traite les certificats entrants pour identifier l'expéditeur d'un email.

MS13-069 est une mise à jour cumulative pour Internet Explorer. Cela concerne toutes les versions du navigateur de IE6 à IE10 sur l'ensemble des systèmes d'exploitation Windows. À noter cependant que IE11 pour Windows 8.1 n'est pas concerné.

Pour IE, il s'agit de corriger dix vulnérabilités signalées confidentiellement dont les plus graves permettent une exécution de code à distance si un utilisateur affiche une page Web spécialement conçue.

On soulignera que Microsoft apporte désormais plus régulièrement des correctifs à IE et pour ainsi dire tous les mois. C'est un rythme qui se rapproche finalement de celui observé par Google Chrome et Firefox où chaque publication d'une nouvelle mouture s'accompagne de son lot de corrections de sécurité.

La troisième mise à jour pour laquelle Microsoft recommande un déploiement prioritaire est MS13-067 pour dix vulnérabilités dans SharePoint Server (2003, 2007, 2010 et 2013) dont une divulguée publiquement.

Initialement, Microsoft avait prévu la publication de 14 bulletins de sécurité. Il y en a un qui manque donc à l'appel. Selon le préavis de publication, il n'était pas classé critique. Son retrait fait suite à des tests supplémentaires qui ont mis en évidence que le patch n'était pas encore prêt pour une diffusion à grande échelle.

De quoi éviter un patch frelaté susceptible de provoquer quelques problèmes auprès d'utilisateurs. Cela a déjà été le cas par le passé avec par exemple un écran bleu de la mort. Microsoft assure cependant que le bulletin retiré à la dernière minute sera publié dès qu'il sera prêt. Surtout, aucune attaque en relation avec le problème qu'il doit corriger n'a été rapportée.