Microsoft-logo Comme tous les deuxièmes mardis de chaque mois, Microsoft procède à la diffusion de rustines de sécurité pour ses produits logiciels. Au programme pour juin 2016, 16 mises à jour de sécurité contenant le nécessaire afin de combler un total de 44 failles. Sont concernés Windows, Microsoft Edge, Internet Explorer, Office et Exchange Server.

Sur les 16 bulletins de sécurité, cinq sont marqués critiques, principalement en raison de vulnérabilités de type exécution de code à distance. En matière d'exploitation dans des attaques, il n'y a toutefois rien à signaler. Aucun rapport connu ne va dans ce sens, ce qui est plutôt rassurant surtout quand on sait qu'un cybercriminel cherche à vendre au marché noir une 0-day pour tous les Windows.

Comme souvent, les vecteurs d'attaque à risque critique sont les navigateurs Microsoft Edge (présent dans Windows 10) et Internet Explorer. C'est notamment le cas avec des vulnérabilités critiques affectant le moteur JavaScript Chakra et le lecteur PDF intégré de Microsoft Edge, et les moteurs de script (JScript 9, JScript, VBScript) d'Internet Explorer. Les mises à jour MS16-068 et MS16-063 sont donc à appliquer sans trop tarder.

MS16-069 apporte un traitement similaire pour les moteurs de script JScript et VBScript dans Windows Vista. Une autre mise à jour critique MS16-070 concerne Office 2007 à 2016. Le principal risque est au niveau de l'ouverture de documents RTF non sûrs.

La dernière mise à jour critique est MS16-071 à cause d'une vulnérabilité dans le serveur DNS Windows pour Windows Server 2012 et 2012 R2.