Le Patch Tuesday de mai de Microsoft est arrivé avec dans ses bagages 16 mises à jour de sécurité dont la moitié d'entre elles sont marquées critiques. Ce total prend en compte un bulletin critique pour des vulnérabilités dans Flash Player avec la mise à jour des bibliothèques concernées dans IE10, IE11 et Microsoft Edge.
Les produits concernés par l'action correctrice sont Windows, Internet Explorer, Microsoft Edge, ainsi que Microsoft Office à partir d'Office 2007. Une mise à jour notable est MS16-055 qui est critique pour l'ensemble des versions de Windows supportées sans exception, de Windows Vista à Windows 10.
MS16-055 corrige des vulnérabilités dans le composant Microsoft Graphics. En toute logique, Windows XP doit également être concerné mais ce système d'exploitation encore bien présent ne bénéficie plus du support de Microsoft depuis avril 2014. Une nouvelle incitation à abandonner Windows XP…
Microsoft n'a pas connaissance d'une attaque active exploitant ces vulnérabilités. Ce n'est pas le cas avec une vulnérabilité affectant les moteurs de script JScript et VBScript. Dans le Patch Tuesday, il s'agit de la seule vulnérabilité exploitée dans des attaques. Internet Explorer est un vecteur d'attaque (MS16-051). Sinon, les quelques utilisateurs de Windows Vista (et de Windows 2008) doivent également appliquer sans tarder la mise à jour MS16-053. Le moteur de script y est intégré de manière distincte du navigateur.
Pour cette vulnérabilité dans le moteur de script, Symantec rapporte pour le moment des attaques ciblées en Corée du Sud par le biais d'un exploit hébergé sur une page Web. Symantec souligne que Internet Explorer est le seul navigateur à prendre en charge la technologie ActiveX (ce n'est plus le cas avec Microsoft Edge), et écrit que la Corée du Sud est encore largement tributaire de ce navigateur.
