Patch Tuesday : Six zero-day et plus de 90 vulnérabilités corrigées

by admin
Patch Tuesday : Six zero-day et plus de 90 vulnérabilités corrigées

Microsoft a publié 96 correctifs de sécurité, dont des mises à jour visant à remédier à six vulnérabilités de type “zero-day”.

Dans sa dernière série de correctifs, qui est généralement publiée le deuxième mardi de chaque mois dans le cadre de ce que l’on appelle le Patch Tuesday, Microsoft corrige des problèmes tels que des exploits d’exécution de code à distance (RCE), des failles d’élévation de privilèges, des problèmes d’usurpation d’identité et des vulnérabilités XSS (cross-site scripting).

Les produits concernés par la mise à jour de sécurité de janvier 2022 sont notamment Microsoft Exchange Server, la gamme de logiciels Office, Windows Defender, le noyau Windows, RDP, les services cryptographiques, Windows Certificate et Microsoft Teams.

publicité

Zero-day

Les vulnérabilités zero-day résolues dans cette mise à jour sont :

  • CVE-2021-22947 : attribuée à HackerOne, il s’agit d’un RCE Curl open source permettant des attaques de type Man-in-The-Middle (MiTM) ;
  • CVE-2021-36976 : attribuée à MITRE, il s’agit d’un bug d’utilisation après la libération de Libarchive en open source conduisant à un RCE ;
  • CVE-2022-21874 : une vulnérabilité RCE locale de l’API du Windows Security Center (CVSS 7.8) ;
  • CVE-2022-21919 : un problème de sécurité d’élévation de privilège dans le service de profil utilisateur de Windows (CVSS 7.0), code d’exploitation du PoC enregistré ;
  • CVE-2022-21839 : Windows Event Tracing Discretionary Access Control List Denial-of-Service (DoS) (CVSS 6.1) ;
  • CVE-2022-21836: usurpation (spoofing) de certificats Windows, code du PoC enregistré (CVSS 7.8).

Aucune des failles zero-day ci-dessus n’est connue pour avoir été exploitée jusqu’alors. Au total, 24 vulnérabilités ont été corrigées au début du mois dans Microsoft Edge (basé sur Chromium). Selon la Zero Day Initiative (ZDI), ce nombre est inhabituel pour le mois de janvier, les années précédentes ayant souvent été marquées par la moitié de ce nombre.

Augmentation des failles à corriger

Microsoft a également annoncé une mise à jour du système de notification du guide des mises à jour de sécurité, les adresses électroniques standard étant désormais acceptées lors de l’inscription au lieu des seuls identifiants Live.

Le mois dernier, Microsoft a publié 67 correctifs de sécurité dans le cadre du Patch Tuesday de décembre 2021. Sept vulnérabilités critiques figuraient parmi les problèmes corrigés, ainsi que six failles de sécurité de type “zero-day”. L’une d’entre elles était CVE-2021-43890, un bug dans l’installateur Windows AppX activement exploité pour diffuser les logiciels malveillants Emotet, Trickbot et Bazaloader.

Un mois auparavant, le géant de la technologie avait corrigé 55 vulnérabilités lors du Patch Tuesday de novembre 2021.

Dans l’actualité récente de Microsoft, la société a publié au début du mois un correctif d’urgence pour un bug affectant les serveurs Exchange sur site. Un problème de vérification de la date empêchait le courrier de passer sans problème dans les files d’attente de transport d’Exchange Server 2016 et Exchange Server 2019.

Parallèlement au Patch Tuesday de Microsoft, d’autres fournisseurs publient également leurs correctifs de sécurité :

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading