Le Patch Tuesday de janvier avait attiré l'attention. D'une part car il signait la fin de la diffusion des bulletins de sécurité avancée (Advance Notification Service) mais également car c'était la première fois qu'Internet Explorer ne recevait pas de correctifs. Pour ce mois-ci, Microsoft corrige le tir, et pas qu'un peu, en annonçant pas moins de 41 patchs de sécurité uniquement pour son navigateur web, sur un total de 56. Ces vulnérabilités permettent de palier un problème de mémoire dans Internet Explorer.
Tous ces correctifs sont regroupés dans 9 bulletins de sécurité dont trois sont marqués comme étant critiques, signifiant que certaines failles peuvent être exploitées par des attaques malveillantes ne nécessitant pas d'intervention de la part des utilisateurs. Les administrateurs systèmes sont invités à corriger ces failles critiques dès que possible. Les correctifs dans le bulletin critique d'Internet Explorer, qui affectent toutes les versions du navigateur, se concentrent sur la façon dont IE traiter les objets en mémoire et ajoutent des autorisations de validation pour garantir qu'il utilise correctement son ASLR (Address Space Layout Randomization).
Les attaques de pirates de plus en plus sophistiquées
Sur les 41 vulnérabilités IE, une seule a été publiquement divulguée, mais elle peut être exploitée en conjonction avec d'autres vulnérabilités. Cette approche n'est pas habituelle, a indiqué Wolfgang Kandek, CTO de l'éditeur de sécurité Qualys. Aujourd'hui, de nombreux pirates déploient des « attaques aveugles » utilisant de multiples vulnérabilités en conjonction avec une autre pour compromettre un système.
Les 6 autres bulletins, classés comme étant importants, concernent Office (le correctif MS15-012 permet d'éviter qu'un attaquant prenne le contrôle du système en incitant un utilisateur à ouvrir un document contenant du code malveillant) et Windows (le correctif MS15-011 corrige une vulnérabilité dans la gestion des règles des groupes Windows qui affecte les grandes entreprises utilisant des contrôleurs de domaines pour gérer des flottes de machines Windows). Ce dernier patch n'est cependant pas disponible pour Windows Serveur 2003, dont l'arrêt total du support est prévu en juillet.