Lors du Patch Tuesday de mars, Microsoft avait diffusé 14 mises à jour pour combler un total de 45 vulnérabilités affectant Windows, Internet Explorer, Office et Microsoft Exchange. C'est un petit peu mois pour ce mois d'avril mais il n'y a pas véritablement de répit.
La plus critique de toutes est MS15-033. Cela tient au fait que cette mise à jour pour Office propose une rustine pour une vulnérabilité divulguée publiquement (corruption de mémoire à distance) et pour laquelle une exploitation a été détectée. En l'occurrence, il s'agit d'attaques limitées ciblant Word 2010. Pour autant, MS15-033 s'adresse aussi à d'autres versions d'Office.
MS15-032 est une mise à jour critique pour Internet Explorer avec dans ses bagages la correction de dix vulnérabilités. Toutes les versions du navigateur sont concernées. De type exécution de code à distance, la presque totalité des failles ont été rapportées de manière confidentielle par Zero Day Initiative de HP qui est le sponsor du concours de hacking Pwn2Own.
Toutes les versions de Windows ont droit à la mise à jour critique MS15-035 afin de corriger une vulnérabilité dans le composant Microsoft Graphics. Le problème réside dans la manière dont Windows traite certains fichiers au format EMF (Enhanced Metafile ; format d'image) qui ont été spécialement conçus. Bien que critique, l'exploitation de cette vulnérabilité de code à distance ne semble pas simple.
La dernière mise à jour critique est MS15-034 qui corrige une vulnérabilité HTTP.sys pouvant permettre l'exécution de code à distance via l'envoi par un attaquant d'une requête HTTP spécialement conçue (une description assez vague). S'il n'y a pas d'exploit dans la nature, l'exploitation est considérée probable. La correction s'impose ainsi pour Windows 7 et 8, Windows Server 2008 R2 et 2012.
Ne reste plus qu'à patcher...
