Microsoft livre sa fournée mensuelle de rustines de sécurité. Comme prévu, ce sont dix bulletins de sécurité pour combler un total de 33 vulnérabilités dans divers produits dont Internet Explorer, Windows ou encore Office. Exploitée par des attaquants, la faille qui affecte Internet Explorer 8 a bien droit à un patch en bonne et due forme.

Deux mises à jour sont critiques mais Microsoft a identifié trois mises à jour dont le déploiement est jugé prioritaire. MS13-037 corrige onze vulnérabilités dans Internet Explorer. Dix d'entre elles permettent une exécution de code à distance mais elles ont toutes été divulguées confidentiellement.

De 6 à 10, toutes les versions d'Internet Explorer sont concernées sur toutes les versions de Windows. La mise à jour cumulative corrige la vulnérabilité dans IE10 qui avait été exploitée début mars lors du concours Pwn2Own.

MS13-038 est la mise à jour qui corrige la fameuse faille dans Internet Explorer 8. Elle a fait l'objet d'une divulgation publique et est impliquée dans des " attaques ciblées et limitées ", selon Microsoft. L'une des cibles a été le Département du travail des États-Unis et le Département à l'Énergie qui ont diffusé du code malveillant.

Contrairement à ce qu'avait laissé entendre Microsoft, Internet Explorer 9 est également affecté. Du moins, une partie du code fautif est présent dans IE9 pour lequel la mise à jour s'applique aussi. Microsoft n'a cependant pas attribué un indice de gravité pour IE9 et estime donc que la faille ne peut pas être exploitée.

MS13-039 corrige une vulnérabilité de type DoS ( déni de service ) dans le pilote http.sys pour Windows 8 et Windows Server 2012. Son exploitation via l'envoi à Windows d'un paquet HTTP spécialement conçu permet un déni de service. Elle a été signalée confidentiellement et Microsoft n'a pas eu vent d'une attaque.

Microsoft-Patch-Tuesday-mai-2013