Le correctif Microsoft d'avril n'apporte aucune correction à Pwn2Own

Les administrateurs système et les professionnels de la sécurité informatique peuvent avoir un peu de répit: Microsoft a publié un ensemble relativement léger de correctifs pour cette édition de sa version mensuelle des correctifs de vulnérabilité logicielle.

"C'est un patch ennuyeux ce mardi, et c'est une excellente chose pour les équipes de sécurité informatique car il n'y aura pas de précipitation pour déployer les patchs de ce mois", a écrit Andrew Storms, directeur des opérations de sécurité pour la société de sécurité nCircle, dans une déclaration par e-mail.

L'aspect le plus surprenant de l'émission de correctifs ce mois-ci était peut-être une vulnérabilité de haut niveau qui n'a pas été couverte. Beaucoup s'attendaient à ce que Microsoft corrige le bogue Pwn2Own Internet Explorer mis au jour plus tôt cette année lors d'un concours de hackers, mais une telle solution n'a pas été incluse dans cette ronde. "Cela les met un peu en retrait par rapport aux autres navigateurs qui ont déjà corrigé leurs bugs Pwn2Own", a noté Storms.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

Microsoft a publié neuf bulletins couvrant 14 vulnérabilités. En revanche, l'entreprise a fixé 20 vulnérabilités en mars et 57 en février.

Deux des bulletins de la collection de ce mois ont été désignés critiques, et les sept autres ont été qualifiés d'importants. Microsoft Office, Microsoft SharePoint et Windows Defender doivent tous être mis à jour

Les entreprises de sécurité ont conseillé de mettre à jour Internet Explorer avec les correctifs critiques Microsoft publiés ce mois-ci pour le navigateur, à la fois dans le MS13- Les attaquants chercheront à exploiter ces deux vulnérabilités, car les attaquants peuvent cibler plusieurs versions d'Internet Explorer en utilisant seulement quelques vulnérabilités. Il est donc important de déployer ce correctif le plus tôt possible », écrit Marc Maiffret, directeur de la technologie de la société de sécurité BeyondTrust dans sa propre analyse.

L'autre bulletin critique concerne le client Microsoft Remote Desktop MS13-029. Cette vulnérabilité existe dans le contrôle ActiveX du client et pourrait donner aux attaquants la possibilité d'exécuter du code arbitraire sur la machine de l'utilisateur. Heureusement, cette vulnérabilité ne se trouve pas dans la dernière version du client Microsoft Remote Desktop, ce qui réduit considérablement le nombre de machines concernées, selon nCircle.

Microsoft organise une webémission pour répondre aux questions des clients sur cette série de correctifs 10 avril