Sur les 25 vulnérabilités de Windows, Exchange et Office, ciblées par les patchs livrés par Microsoft ce 13 avril, neuf sont considérées comme «critiques», le plus haut niveau de dangerosité.
L’urgence concernait surtout deux des failles des briques de visionnage de video, Windows Media Player et le DirectShow codec. Deux « malwares » qui, selon les experts sécurité (nCircle Network Security, Qualys, etc) cités par Computerworld, ouvraient la porte aux intrus pendant la consultation de video.
La menace MS10-026 visant le codec concerne Windows 2000, XP, Vista et Server 2008, mais ni Windows 7, ni la release 2 de Server 2008. Pour le Media Player, la rustine pour MS10-027 comble une faille trouvée dans Windows 2000 et XP.
Selon l’expert Richie Lai de Qualys, un simple script permettait d’exploiter ces failles. D’où l’urgence à y remédier, vu la fréquentation et la rapidité de propagation des «malwares» via la diffusion/consultation de video.
Les autres patches (concernant notamment l’authentification ou certains bugs du SMB, Server message Block) divisent les experts quant à leur degré de criticité.
Comme le rappellent nos confrères de Computerworld, les livraisons de patches d’autres éditeurs ne sont pas plus négligeables : pour Adobe, il s’agit de 15 failles d’Acrobat Reader et Acrobat PDF, pour Oracle 16 rustines pour les logiciels de Sun et 47 pour ses produits bases de données. Auxquels devrait s’ajouter impérativement le correctif d’une faille dans Java signalée à la presse américaine ce même 13 avril et jugée « extrèmement critique » par les experts de G Data Software.