Le rendez-vous mensuel de sécurité fixé par Microsoft est l'occasion de diffuser huit mises à jour dont deux classées critiques. Les cinq autres sont considérées importantes. Au total, ce sont treize vulnérabilités à combler dans .Net Framework, Office, SharePoint, Internet Explorer et Windows.

Afin d'orienter les déploiements, Microsoft donne la priorité à trois mises à jour. Une mise à jour pourtant critique ne fait pas partie des priorités même si elle le sera aux yeux des administrateurs dans la mesure où elle s'applique à SharePoint.

MS14-029 corrige deux vulnérabilités affectant toutes les versions d'Internet Explorer, soit de IE6 à IE10. Elle est critique sur toutes les versions clientes de Windows en cours de support. Alors que les failles ont été signalées confidentiellement à Microsoft, l'équipe de sécurité de Google a détecté des attaques en cours pour l'une d'entre elles.

On rappellera que Microsoft avait publié le 1er mai une mise à jour en urgence pour Internet Explorer. Pour ceux qui n'ont pas encore procédé à son application, elle se retrouve également dans le Patch Tuesday de mai.

MS14-024 et MS14-025 sont les deux autres mises à jour pour lesquelles Microsoft recommande une attention particulière. La première s'adresse à Office 2007 et jusqu'à Office 2013 pour un problème au niveau du contrôle commun Mscomctl permettant le contournement de la sécurité ( via une page Web ; IE est capable d'instancier un composant COM ).

La deuxième est pour Windows en raison d'une vulnérabilité divulguée publiquement mais dont l'exploitation permet seulement une élévation de privilèges. Elle réside au niveau du stockage des identifiants dans les préférences de stratégie de groupe de Windows.


Windows XP est faussement absent
Windows XP - ainsi que Office 2013 - est le grand absent de ce Patch Tuesday de mai en raison de l'arrêt de son support par Microsoft. Seules les entreprises et administrations qui ont négocié du support personnalisé avec Microsoft auront droit à des patchs.

windows xp Si Windows XP ne figure pas dans le Patch Tuesday, il est hautement problème que ce système d'exploitation soit tout autant concerné par les vulnérabilités de ce mois. Une base Windows commune se retrouve en effet dans les diverses versions. Les attaquants vont eux pouvoir se pencher sur les failles comblées dans Windows Vista ou Windows 7 afin de tenter d'élaborer des exploits visant Windows XP.

Les utilisateurs de Windows XP devront donc faire de vigilance accrue désormais. Microsoft considère pour sa part que le temps est venu de passer à une version plus moderne de Windows comme Windows 7 ou Windows 8.1.