Microsoft publie son Patch Tuesday mensuel

Spread the love
  • Yum

Microsoft publie son Patch Tuesday mensuel

Microsoft a publié 89 correctifs de sécurité, concernant notamment le navigateur Edge, et les logiciels d’Office et Azure. Ils corrigent des problèmes critiques, notamment des vecteurs pour l’exécution à distance de code arbitraire.

Le traditionnel patch mensuel de Microsoft contient plusieurs correctifs corrigeant des vulnérabilités dans des logiciels Azure, mais aussi des produits Office – notamment PowerPoint, Excel, SharePoint et Visio – ainsi que les navigateurs Edge et Internet Explorer.

Le patch comporte également sept correctifs hors bande pour le serveur Microsoft Exchange, publiés la semaine dernière, dont quatre concernent des zero-day.

publicité

14 vulnérabilités critiques

Microsoft a également publié des mises à jour de sécurité pour des fonctionnalités et des services comme la bibliothèque de codecs Microsoft Windows, le centre d’administration Windows, DirectX, la recherche d’événements, le registre, Win32K et l’API d’accès à distance Windows. Au total, 14 d’entre elles sont qualifiées de critiques, et la majorité peuvent conduire à une exécution de code arbitraire. Les autres sont également jugées importantes.

Parmi les correctifs, on peut citer celui qui concerne la vulnérabilité CVE-2021-26411, une faille de corruption de la mémoire dans Internet Explorer activement exploitée. « Avec ce type d’exploit, l’attaquant dispose des mêmes autorisations sur le système d’exploitation que l’utilisateur qui visite le site web », explique Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. « Ainsi, si vous naviguez sur internet en tant qu’utilisateur standard, l’attaquant obtiendra un accès basique à vos fichiers et un accès limité au système d’exploitation. Mais si vous surfez en tant qu’administrateur, il aura un accès complet et illimité à vos fichiers et à votre système d’exploitation. »

Parmi les autres problèmes critiques, on peut citer les vulnérabilités CVE-2021-27074 et CVE-2021-27080, des bugs d’exécution de code non signé dans Azure Sphere, et CVE-2021-26897, une faille RCE critique dans le serveur DNS de Windows.

Au total, la résolution de 15 CVE a été signalée dans le cadre de l’initiative Trend Micro Zero Day. Un ensemble distinct de correctifs a été publié pour la version Chromium du navigateur Edge la semaine dernière.

Une actualité chargée

Cette dernière série de correctifs de sécurité fait suite aux premiers correctifs d’urgence publiés par Microsoft pour résoudre quatre vulnérabilités de type “zero-day” dans Exchange Server, ainsi que trois autres failles de sécurité. Les failles de sécurité critiques, utilisées pour voler des données des courriels situés dans les boîtes de réception, et qui pourraient permettre potentiellement le détournement du serveur, ont été exploités à l’origine par le groupe Hafnium. Mais le problème s’est répandu au niveau mondial et aurait touché des milliers d’entreprises dans le monde entier.

Microsoft a également annoncé la fin de la prise en charge des applications de bureau Microsoft Edge Legacy. L’application sera supprimée et remplacée par le nouveau Microsoft Edge lors de la mise à jour mensuelle cumulative de sécurité de Windows 10 en avril.

Dans le précent Patch Tuesday, en février, Microsoft avait résolu 56 vulnérabilités, dont une faille d’escalade de privilège de type “zero-day” dans Win32k. Le prochain Patch Tuesday est prévu pour le 13 avril.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: