C’est une tradition : chaque deuxième mardi du mois, Microsoft diffuse son célèbre Patch Tuesday, un ensemble de correctif destiné à régler des problèmes de sécurité sur ses produits. Et celui d’avril 2020, publié mardi 14, ne donne pas dans la demie mesure puisqu’il comble pas moins de 113 failles au total, dont beaucoup concernent différentes versions de Windows 10.

Parmi les failles corrigées, 17 étaient qualifiées de critiques, les 96 autres étant jugées importantes. Surtout, quatre vulnérabilités étaient de type zero-day – c’est à dire tout juste découvertes –, trois étant même déjà exploitées par des pirates (voir notre article). Provenant de bugs dans la bibliothèque Adobe Type Manager (ATM), deux d’entre-elles permettaient l’exécution d’un code malicieux à distance quand on utilisait une certaine police de caractères. Un problème qui pouvait se contourner temporairement via une petites astuce dans les réglages. La troisième permettait à un attaquant d’élever ses privilèges en exploitant un bug situé le noyau même de Windows.

Même si Microsoft assure que le risque est faible, soulignant que ces différentes failles n’ont pas été massivement exploitées, il parait indispensable d’appliquer sans tarder cet ensemble de correctifs, qui concernent également des logiciels comme Edge, Office, Windows Defender, Internet Explorer, Visual Studio un encore ChakraCore (moteur JavaScript) et Microsoft Dynamics. Dans Windows 10, l’opération est en principe automatique et transparente quand Windows Update est correctement configuré. En cas de doute, il suffit d’aller dans Paramètres, Mises à jour et sécurité, et de vérifier l’historique des mises à jour ou de lancer l’installation des mises à jour en attente.