Patch Tuesday : 55 vulnérabilités corrigées, dont quatre critiques

Microsoft a déployé son Patch Tuesday pour mai 2021. Il comprend des correctifs pour 55 failles de sécurité, dont quatre sont jugés critiques. Il corrige également trois vulnérabilités de type “zero day”, mais aucune n’a été exploitée.

Parmi les produits concernés, on compte Internet Explorer, .NET Core et Visual Studio, Windows 10 et Office, pour n’en citer que quelques-uns. Microsoft a publié la liste complète des mises à jour ici.

Les failles de sécurité corrigées

Les trois vulnérabilités corrigées par ce Patch Tuesday sont les suivantes :

• CVE-2021-31204 : une vulnérabilité pouvant mener à l’élévation de privilèges sur .NET et Visual Studio.
• CVE-2021-31207 : une vulnérabilité de contournement des fonctions de sécurité de Microsoft Exchange Server.
• CVE-2021-31200 : une vulnérabilité d’exécution de code à distance de Common Utilities.

Zero Day Initiative s’intéresse particulièrement à la faille CVE-2021-31166, une vulnérabilité d’exécution de code à distance de la pile de protocole HTTP : « ce patch corrige une faille de sécurité pouvant permettre à un attaquant non authentifié d’exécuter du code à distance dans le noyau. Un attaquant aurait simplement besoin d’envoyer un paquet spécialement conçu à un serveur affecté. Cela en fait un ver, et même Microsoft l’a signalé dans son rapport. Avant que vous ne passiez outre, sachez que Windows 10 peut également être configuré en tant que serveur web et qu’il est donc également touché. Il faut absolument mettre ce problème en tête de votre liste de tests et de déploiements »

Zero Day Initiative a aussi signalé une vulnérabilité d’exécution de code à distance Hyper-V, avec un classement CVSS de 9,9.

Source : ZDNet.com