Microsoft a livré son Patch Tuesday du mois de mai 2010. Deux mises à jour de sécurité critiques sont au programme afin de combler des vulnérabilités d'exécution de code à distance susceptibles de permettre une prise de contrôle du système. Elles intéressent le système d'exploitation Windows et la suite bureautique Office.

La première mise à jour MS10-30 s'adresse à Windows, mais en réalité plus particulièrement aux clients de courrier électronique Outlook Express et Windows Mail que l'on retrouvent notamment par défaut dans Windows XP et Windows Vista. Si Windows 7 ne propose pas par défaut de client mail, l'OS n'échappe pas pour autant à la mise à jour. Une mesure de prévention pour Microsoft dans la mesure où un utilisateur peut avoir installé un client mail vulnérable, dont il faudra rajouter à la liste Windows Live Mail ( le remplaçant de Windows Mail ).

Selon Microsoft, la vulnérabilité concernée, qui a été signalée confidentiellement, peut être exploitée par un attaquant via un serveur mail malveillant ou compromis. Il peut également procéder à une attaque de type man in the middle et tenter d'intercepter et modifier des communications POP3 ou IMAP légitimes à travers un réseau non sûr, comme un point d'accès Wi-Fi donné à titre d'exemple. Avec Windows Vista et supérieur, l'exploitation de la vulnérabilité est toutefois jugée peu probable.

La deuxième mise à jour MS10-31 corrige une vulnérabilité dans Microsoft Visual Basic for Applications en modifiant la façon dont VBA recherche des contrôles ActiveX incorporés dans des documents. La mise à jour est critique pour Microsoft VBA SDK 6.0 et les applications tierces qui utilisent VBA, et importante pour Office XP, 2003 et 2007.

Microsoft travaille toujours à l'élaboration d'un correctif pour une vulnérabilité dans SharePoint Services 3.0 et SharePoint Server 2007 qui a été dévoilée à la fin du mois dernier.