Patch Tuesday : 58 correctifs pour décembre, dont 22 à appliquer immédiatement

Patch Tuesday : 58 correctifs pour décembre, dont 22 à appliquer immédiatement

Microsoft a publié aujourd’hui 58 correctifs de sécurité, pour plus de 10 produits et services, dans le cadre de sa mise à jour de sécurité mensuelle, connue sous le nom de “Patch Tuesday”.

On compte moins de correctifs ce décembre, comparé à la centaine de patchs que Microsoft a envoyé chaque mois. Mais ce n’est pas pour ça que les problèmes de sécurité sont moins graves.

publicité

Les failles de sécurité les plus critiques

Plus d’un tiers des correctifs de ce mois-ci (22) sont classés comme des vulnérabilités d’exécution de code à distance (RCE). Ces failles de sécurité sont à corriger immédiatement car elles sont plus facilement exploitables, sans aucune interaction de l’utilisateur, que ce soit via internet ou à travers un réseau local.

Ce mois-ci, des RCE ont été trouvées dans des produits comme Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio et Hyper-V.

Les vulnérabilités RCE les plus critiques, et les plus susceptibles d’être exploitées, sont celles affectant Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132, et CVE-2020-17142) et SharePoint (CVE-2020-17118 et CVE-2020-17121).

Il est conseillé de les patcher d’abord, car, de par leur nature, les systèmes Exchange et SharePoint sont régulièrement connectés à internet et, par conséquent, sont plus facilement attaquables.

En savoir plus sur les mises à jour de sécurité du mois

Parmi les autres vulnérabilités corrigées ce mois-ci, on trouve une autre faille de sécurité majeure dans Hyper-V, la technologie de virtualisation de Microsoft utilisée pour héberger des machines virtuelles. Exploitable via un paquet SMB malveillant, cette vulnérabilité aurait pu permettre à des attaquants à distance de compromettre des environnements virtualisés sandbox, ce qu’Hyper-V a été conçu pour éviter.

Vous trouverez ci-dessous des informations complémentaires sur le Patch Tuesday de décembre et les mises à jour de sécurité publiées par d’autres éditeurs :

  • Le portail officiel de Microsoft, Security Update Guide, répertorie toutes les mises à jour de sécurité dans un tableau filtrable.
  • ZDNet a publié ce fichier qui regroupe sur une seule page tous les avis de sécurité de ce mois.
  • Les mises à jour de sécurité d’Adobe sont détaillées ici.
  • Les mises à jour de sécurité SAP sont disponibles ici.
  • Les mises à jour de sécurité d’Intel sont disponibles ici.
  • Les mises à jour de sécurité de VMWare sont disponibles ici.
  • Les mises à jour de sécurité de Chrome 87 sont détaillées ici.
  • Les mises à jour de sécurité pour Android sont disponibles ici.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *