40 vulnérabilités critiques ont été corrigées dans le dernier Patch Tuesday de Microsoft, sur un total de 46 incluant d'autres produits de la firme de Redmond comme Windows et Office. Les patchs ont été répartis en 13 bulletins de sécurité, dont 3 considérés comme critiques et 10 importants. Les bulletins critiques MS15-043, MS15-044 et MS15-045 permettent de répondre aux risques d'exécution code distant dans Windows, IE, Office, le framework .NET, Lync et Silverlight.
Les administrateurs ont tout intérêt à se pencher en premier lieu sur le bulletin MS15-043 qui corrige 22 vulnérabilités dans Internet Explorer dont 14 classées critiques, a indiqué Wolfgang Kandek, directeur technique de Qualys. Ces dernières permettant à des pirates d'exécuter du code arbitraire sur des machines dont les utilisateurs ont visité des pages web malveillantes ou piégées par une variété de techniques mises en place par des pirates. Cependant, toutes les vulnérabilités portant sur de l'exécution de code distant sont loin d'être toutes exploitées : l'année dernière, seulement 5% de ce type de vulnérabilités ont été recensées dans des attaques réelles.
Vers des mises à jour de sécurité au fil de l'eau avec windows 10
Autre bulletin qui nécessite une attention particulière le MS15-044 car il corrige deux vulnérabilités dans une police de caractères utilisée par de nombreux produits Microsoft. Or, les attaquants peuvent exploiter cette faille en embarquant dans des documents ou des pages web une version vérolée de cette police. « Corrigez rapidement, en moins de deux semaines », enjoint Wolfgang Kandesk. L'une des raisons de réagir rapidement est que les pirates sont de plus en plus rapides à adopter ce type d'exploits en particulier à grande échelle. Mais les entreprises devraient s'habituer à un nouveau rythme de correctifs, Microsoft prévoyant de pousser les mises à jour pour Windows 10 au fil de l'eau signant la disparition programmée du Patch Tuesday. Il faut dire que cette mise à mort a commencé il y a quelques mois avec l'arrivée du service Windows Update for Business.