Pour ce Patch Tuesday de juin, Microsoft corrige une cinquantaine de vulnérabilités de sécurité pour Windows, Microsoft Edge, Internet Explorer, Microsoft Office et le moteur JavaScript ChakraCore. Parmi celles-ci, onze sont cataloguées critiques.

Il n'est pas fait mention d'un exploit particulier dans la nature. Par contre, une vulnérabilité critique a fait l'objet d'une divulgation publique. De type exécution de code à distance, elle est en rapport avec un problème dans la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer.

Pour Qualys, une vulnérabilité critique à laquelle il faut prêter attention affecte la bibliothèque logicielle DNSAPI.dll du système DNS de Windows. " Elle pourrait permettre à un attaquant de compromettre un système via un serveur DNS malveillant. Les stations de travail mobiles qui peuvent se connecter à du Wi-Fi non sûr sont à haut risque. "

Si elle n'est pas critique, Zero Day Initiative (ZDI) souligne une vulnérabilité d'élévation de privilèges dans Cortana. Selon ZDI, " une personne suffisamment proche pour parler à Cortana pourrait exécuter des programmes avec des privilèges élevés. " Pour autant, l'exploitation nécessite un accès physique.

En début d'année, des chercheurs en sécurité avaient mis en évidence une faille dans Cortana et Windows 10 s'appuyant sur l'insertion d'un adaptateur Ethernet USB sur un appareil.

Microsoft annonce également des patchs (mesures d'atténuation) pour la variante 4 de la vulnérabilité Spectre dévoilée en mai. Ils activent le support de Speculative Store Bypass Disable (SSBD) pour les processeurs Intel. " Les mises à jour nécessitent des mises à jour correspondantes du microcode / firmware et du registre ", précise Microsoft.

À noter également que Adobe avait publié la semaine dernière une mise à jour hors cycle de Flash Player en raison de l'exploitation d'une vulnérabilité dans des attaques.