Comme tous les deuxièmes mardis de chaque mois, Microsoft a livré une nouvelle fournée de correctifs de sécurité. À digérer, sept mises à jour de sécurité pour combler un total de 34 vulnérabilités dans Windows, Internet Explorer, .NET Framework, Silverlight, GDI+ ( Graphics Device Interface ) et Windows Defender.

Du costaud puisque six mises à jour sont cataloguées critiques pour des vulnérabilités d'exécution de code à distance. Une mise à jour est dite importante afin de corriger une vulnérabilité d'élévation de privilèges. Cette dernière s'adresse à l'outil de sécurité Windows Defender installé pour Windows 7 ( et Windows Server 2008 R2 ).

Microsoft-Patch-Tuesday-juillet-2013 Afin de faciliter les déploiements, Microsoft a identifié deux mises à jour prioritaires. La première corrige huit vulnérabilités dont deux divulguées publiquement dans les pilotes en mode noyau de Windows. Celle de Tavis Ormandy remontant à la mi-mai est dans le lot. Toutes les éditions de Windows sont concernées, de Windows XP à Windows 8. On soulignera cependant que seulement deux vulnérabilités peuvent être exploitées à distance.

Selon Microsoft, la vulnérabilité la plus grave permet une exécution de code à distance si un utilisateur ouvre un document spécialement conçu ou consulte une page Web qui intègre des fichiers de police TrueType.

L'autre gros morceau est une mise à jour cumulative pour Internet Explorer dans ses versions IE6 à IE10 pour un total de 17 vulnérabilités de sécurité. Cela commence à chiffrer mais c'est un total similaire à celui de la version 28 de Google Chrome, même si Google n'a identifié qu'une seule faille critique.

On remarquera que Microsoft remercie nombre de chercheurs en sécurité tiers - et pas seulement pour le rapport des failles de IE - qui ont collaboré via des initiatives comme Zero Day Initiative de HP. L'équipe de sécurité de Google a également été une nouvelle fois très prolifique. Cela devient une spécialité.

Toutes les failles pour IE ont été divulguées de manière confidentielle à Microsoft et il n'y a pour le moment pas d'exploit connu dans la nature. Mieux vaut toutefois ne pas tarder à patcher car l'indice d'exploitabilité est de 1, ce qui signifie que le développement d'exploit est tout à fait faisable.

Au cours de ces derniers mois, la firme de Redmond a augmenté le rythme des corrections pour Internet Explorer. Un bon conseil pour les utilisateurs de ce navigateur est de préférer la dernière version lorsque c'est possible. IE10 possède par exemple plus de mécanismes de sécurité que IE8.

En dépit des deux déploiements prioritaires mis en avant par Microsoft, on retiendra un Patch Tuesday de juillet copieux où rien n'est vraiment à négliger.