C'est une publication hors cycle qui est souvent synonyme d'urgence. Microsoft publie des mises à jour de sécurité afin de combler deux vulnérabilités.

La première vulnérabilité de sécurité (CVE-2019-1367) est critique. Elle affecte Internet Explorer et fait l'objet d'une exploitation active dans des attaques. Certes, parler d'Internet Explorer peut paraître anachronique, mais ce navigateur n'en demeure pas mois présent dans Windows 10, en plus de Windows 7 par exemple.

Peu de détails toutefois, si ce n'est que la vulnérabilité est de type exécution de code à distance et touche le moteur de script. Elle a été découverte et rapportée à Microsoft par un membre du Threat Analysis Group de Google. Une attaque nécessite de tromper un utilisateur d'Internet Explorer sur un site web malveillant.

La part d'utilisation d'Internet Explorer étant désormais considérablement réduite, il est légitime de penser que le champ des attaques est largement limité.

La deuxième vulnérabilité de sécurité (CVE-2019-1255) n'est pas jugée critique, mais elle affecte Windows Defender. Elle est de type déni de service pour la protection antimalware. La correction est apportée à partir de la version 1.1.16400.2 de Microsoft Malware Protection Engine.

Pour une exploitation, un attaquant doit d'abord avoir accès au système d'une victime et être en mesure d'exécuter du code. Le problème a été découvert par des chercheurs de F-Secure Countercept et Tencent Security Xuanwu Lab.

La mise à jour correctrice est automatique avec une application dans les 48 heures après sa publication.