Microsoft n'en n'a pas fini avec les problèmes de sécurité de son navigateur Internet Explorer. Le dernier Patch Tuesday de la firme de Mountain View permet ainsi de résoudre 13 failles pour IE, toutes étant classées comme critiques. « L'exploitation de ces vulnérabilités critiques créé la situation la plus dangereuse, en l'occurrence l'exécution de code à distance (RCE) qui donne à l'attaquant le contrôle complet de la machine ciblée », a indiqué dans un billet de blog le CTO de Qualys, Wolfgang Kandek. Les correctifs relatifs à IE se trouvent dans le bulletin MS16-023. Au total, Microsoft a publié 13 bulletins de sécurité dont 5 critiques.
Outre celui consacré à IE, on trouve également le bulletin MS16-024 corrigeant 11 vulnérabilités (dont 10 critiques) pour Edge, le navigateur web utilisé dans Windows 10, mais également MS16-029 qui permet de corriger une vulnérabilité relative à Word permettant à un attaquant d'exécuter du code RCE pour contrôler des machines ciblées. Parmi les autres bulletins publiés, MS16-027 (Windows Media Player), MS16-026 (polices OpenType) ou encore MS16-028 (visionneuse PDF Reader pour Windows 8).
« Elles s'attaquent toutes à des problèmes de formatage complexes, que ce soit dans le lecteur Windows Media Player avec le format vidéo MPEG, dans les polices OpenType avec une référence circulaire qui provoque une récursion ou dans la visionneuse PDF avec une vérification des limites qui fait défaut dans l'interpréteur PostScript. Le flot continu de vulnérabilités dans ces domaines indique le niveau de complexité des formats de médias que nous utilisons tous les jours », a précisé Wolfgang Kandek.