C'est un très gros Patch Tuesday pour Microsoft en ce mois de février avec au compteur la correction de 99 vulnérabilités de sécurité. Pour autant et à une exception près, cette flopée de patchs - qui couvre plusieurs produits de Microsoft - n'est pas synonyme d'une urgence globale particulière.

Parmi toutes les vulnérabilités, 12 sont jugées critiques, dont 7 pour les navigateurs Microsoft Edge (EdgeHTML) et Internet Explorer et les moteurs de script, 2 pour le Remote Desktop Client, 3 pour les fichiers LNK, Media Foundation et Windows.

À noter que pour Microsoft Edge, il ne s'agit pas du nouveau Microsoft Edge basé sur Chromium. Pour ce dernier, les mises à jour sont indépendantes et livrées de la même manière que pour Google Chrome par exemple.

Pour cinq vulnérabilités, il y a eu une divulgation publique. Néanmoins, seulement une est considérée critique et avec une exploitation dans la nature. Il s'agit de cette exception évoquée plus haut et elle fait référence à une vulnérabilité de sécurité affectant Internet Explorer (IE11).

Le correctif pour IE11 - une faille CVE-2020-0674 de type exécution de code à distance - était attendu puisque Microsoft avait publié le mois dernier une alerte de sécurité et en proposant en attendant des mesures de mitigation pour les administrateurs en limitant l'accès à Jscript.dll.

Pour cette 0day, Microsoft avait évoqué un nombre limité d'attaques ciblées. La découverte émane de chercheurs en sécurité du groupe de cybersécurité chinois Qihoo 360 et du Threat Analysis Group de Google.

Membre de Project Zero de Google, Maddie Stone indique qu'il s'agit de la troisième tentative pour corriger complètement le bug de sécurité après deux échecs.