Microsoft prend en charge IE zero day avec Patch Tuesday update

C'est encore Patch Tuesday, et Microsoft a tout ce qu'il faut pour que les administrateurs informatiques et les utilisateurs restent occupés ce mois-ci. Microsoft a publié dix nouveaux bulletins de sécurité pour le mois de mai, mais les deux qui méritent le plus d'attention et la plus haute priorité sont tous deux liés au navigateur Web Internet Explorer.

Microsoft a corrigé un total de 33 vulnérabilités ce mois-ci. Il existe huit correctifs classés comme importants, qui affectent une gamme de technologies et de produits, notamment Microsoft Word, Publisher, Visio et Lync, ainsi que le framework.NET et le noyau Windows. Les deux autres correctifs sont tous deux jugés critiques, et les deux corrigent des vulnérabilités dans Internet Explorer. Marc Maiffret, CTO de BeyondTrust, explique que MS13-037 affecte toutes les versions supportées d'Internet Explorer - et affecte donc toutes les versions supportées de Windows.. Il souligne que trois des vulnérabilités abordées sont présentes dans toutes les versions d'Internet Explorer, et les attaquants se concentreront probablement sur ceux-ci afin de cibler le plus grand nombre possible de systèmes vulnérables avec le moins d'effort possible.

MS13-037 est le, ou prévu, mise à jour pour Internet Explorer. MS13-038, d'autre part, est un ajout précipité de dernière minute à l'inventaire Patch Tuesday. Il y a moins de deux semaines, une faille de zéro jour a été découverte dans IE8.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Andrew Storms, directeur des opérations de sécurité pour nCircle (une société Tripwire) "Comme prévu, Microsoft a publié aujourd'hui une mise à jour critique pour Internet Explorer 8 qui corrige un bogue du jour zéro qui aurait été utilisé dans une attaque ciblée contre le ministère américain du Travail. La spéculation plus tôt cette semaine suggère que la même attaque a également ciblé les employés de l'USAID et du ministère de l'Énergie. "

Storms félicite Microsoft pour le revirement rapide. Il souligne que le passage d'un conseil à un correctif en seulement onze jours est un exemple de la réactivité de Microsoft à ses utilisateurs, ainsi qu'à la communauté de la sécurité.

Ross Barrett, directeur de l'ingénierie de sécurité chez Rapid7. Il a commenté que le revirement rapide est Microsoft à son meilleur. Cependant, il note également que le barrage prévisible des mises à jour critiques mensuelles pour le navigateur Microsoft indique un modèle de correctif et de support défectueux. Il suggère que Microsoft adopte un système comme les navigateurs Chrome et Firefox, qui corrigent silencieusement en arrière-plan les mises à jour disponibles.

Dans un article de blog, Qualys CTO Wolfgang Kandek nous rappelle que Microsoft n'est pas le seul jeu en ville. Adobe a également publié quelques mises à jour cruciales aujourd'hui. Il y a des mises à jour pour ColdFusion, Reader et Flash.