Patch Tuesday, c'est la mise jour mensuelle avec laquelle Microsoft solutionne des bugs et problèmes de sécurité dans ses produits. Ce qui est étonnant ce mois-ci, c'est la présence de deux éléments sensibles supplémentaires. En général, les fuites restent un secret public, jusqu'à ce qu'elles soient colmatées, mais dans ce cas, une preuve de concept (proof of concept) et un code circulaient déjà pour permettre l'abus de la faille.

Il est entre autres question d'un bug dans Internet Explorer 10 et 11 pour toutes les versions de Windows. Ce bug s'est vu attribuer le code CVE-2019-0676. En visitant un site mal intentionné, un pirate peut tester si un ou plusieurs fichier(s) spécifiques(s) a(ont) été conservé(s) sur le disque du PC attaqué. La faille a été découverte et signalée par l'équipe de recherche Project Zero de Google, mais un 'exploit' (code permettant d'abuser de la faille) actif était déjà en circulation sur internet.

Dans le second cas, il s'agit d'un problème dans le service mail Exchange, qui a été baptisé PrivExchange et a reçu le nom de code CVE-2019-0686. Ici, un pirate, qui a accès à une boîte mail ordinaire, peut obtenir les droits d'administrateur du serveur où se trouve cette boîte mail. Chez Microsoft, on déclare n'avoir enregistré aucun abus de la faille, mais qu'il est probable qu'il y ait des incidents.

En tout, ce Patch Tuesday corrige pas moins de septante problèmes, dont vingt sont qualifiés de critiques. Outre Internet Explorer et Exchange, il s'agit notamment d'Edge, Windows, Office et .NET Framework, Visual Studio, Azure Iot SDK, MS Dynamics, Team Foundation Server et Visual Studio Code.