Avec un total de 77 vulnérabilités de sécurité corrigées, dont 20 critiques, le deuxième Patch Tuesday de l'année est copieux pour Microsoft avec un large spectre de produits concernés (Windows, Microsoft Edge, Internet Explorer, Office, .Net Framework, Exchange Server, Visual Studio, Team Foundation Server, Azure IoT SDK, Dynamics…).

Les vulnérabilités critiques concernent pour l'essentiel le moteur de script et les navigateurs, ainsi que GDI+ (Windows Graphics Device Interface), SharePoint et DHCP. Zero Day Initiative, qui publie un résumé des problèmes corrigés, souligne que près de la moitié des bugs de sécurité sont de type exécution de code à distance.

Internet_Explorer_logo Ce n'est pas le cas de la seule 0day (non critique) qui affecte le navigateur Internet Explorer. De type divulgation d'informations, cette vulnérabilité fait l'objet d'une exploitation dans des attaques actives. Elle a été signalée à Microsoft par un membre du Threat Analysis Group de Google.

" Un attaquant qui a exploité cette vulnérabilité avec succès pourrait tester la présence de fichiers sur le disque ", écrit Microsoft. " Pour qu'une attaque réussisse, un attaquant doit persuader un utilisateur d'ouvrir un site web malveillant. "

Quatre autres vulnérabilités (également non critiques) ont fait l'objet d'une divulgation publique, dont une faille connue en tant que PrivExchange dans Exchange Server qui pourrait permettre à un attaquant distant avec un compte mail d'obtenir des privilèges d'administrateur.

Qualys met de son côté l'accent sur une vulnérabilité critique affectant Windows DHCP Server avec un attaquant qui peut envoyer des paquets spécialement formés à un serveur DHCP pour exécuter du code arbitraire. C'est cette vulnérabilité qui a le score de criticité CVSS le plus élevé (9,8 sur 10).