Aujourd'hui, c'est le Patch Tuesday de décembre 2023 de Microsoft, qui comprend des mises à jour de sécurité pour un total de 34 failles et une vulnérabilité non corrigée précédemment divulguée dans les processeurs AMD.
Alors que huit bogues d’exécution de code à distance (RCE) ont été corrigés, Microsoft n’en a classé que trois comme critiques. Au total, il y avait quatre vulnérabilités critiques, dont une dans Power Platform (usurpation d'identité), deux dans le partage de connexion Internet (RCE) et une dans la plate-forme Windows MSHTML (RCE).
Le nombre de bogues dans chaque catégorie de vulnérabilité est répertorié ci-dessous :
- 10 Vulnérabilités d’élévation de privilèges
- 8 vulnérabilités d'exécution de code à distance
- 6 Vulnérabilités de divulgation d'informations
- 5 vulnérabilités de déni de service
- 5 vulnérabilités d'usurpation d'identité
Le nombre total de 34 failles n'inclut pas 8 failles Microsoft Edge corrigées le 7 décembre.
Pour en savoir plus sur les mises à jour non liées à la sécurité publiées aujourd'hui, vous pouvez consulter nos articles dédiés sur la nouvelle mise à jour cumulative Windows 11 KB5033375 et la mise à jour cumulative Windows 10 KB5033372.
Un zéro jour fixe divulgué publiquement
Le Patch Tuesday de ce mois-ci corrige une vulnérabilité AMD zero-day révélée en août et qui n'était pas corrigée auparavant.
Le 'CVE-2023-20588 – AMD : CVE-2023-20588 Fuites spéculatives AMDLa vulnérabilité est un bug de division par zéro dans des processeurs AMD spécifiques qui pourrait potentiellement renvoyer des données sensibles.
La faille a été révélée en août 2023, AMD ne fournissant aucun correctif autre que la recommandation de l'atténuation suivante.
« Pour les produits concernés, AMD recommande de suivre les meilleures pratiques de développement logiciel », lit-on dans un communiqué. Bulletin AMD sur CVE-2023-20588.
« Les développeurs peuvent atténuer ce problème en garantissant qu'aucune donnée privilégiée n'est utilisée dans les opérations de division avant de modifier les limites des privilèges. AMD estime que l'impact potentiel de cette vulnérabilité est faible car elle nécessite un accès local. «
Dans le cadre des mises à jour du Patch Tuesday de décembre, Microsoft a publié une mise à jour de sécurité qui résout ce bogue dans les processeurs AMD concernés.
Mises à jour récentes d'autres sociétés
Parmi les autres fournisseurs qui ont publié des mises à jour ou des avis en décembre 2023 figurent :
Les mises à jour de sécurité du Patch Tuesday de décembre 2023
Vous trouverez ci-dessous la liste complète des vulnérabilités résolues dans les mises à jour du Patch Tuesday de décembre 2023.
Pour accéder à la description complète de chaque vulnérabilité et des systèmes qu'elle affecte, vous pouvez consulter le rapport complet ici.
| Étiqueter | Identifiant CVE | Titre CVE | Gravité |
|---|---|---|---|
| Agent de machine connectée Azure | CVE-2023-35624 | Vulnérabilité d’élévation de privilèges de l’agent de machine connectée Azure | Important |
| Apprentissage automatique Azure | CVE-2023-35625 | Azure Machine Learning Compute Instance pour les utilisateurs du SDK Vulnérabilité de divulgation d’informations | Important |
| Chipsets | CVE-2023-20588 | AMD : Avis de sécurité sur les fuites spéculatives AMD CVE-2023-20588 | Important |
| Pilote Microsoft Bluetooth | CVE-2023-35634 | Vulnérabilité d'exécution de code à distance du pilote Bluetooth Windows | Important |
| Microsoft Dynamique | CVE-2023-35621 | Vulnérabilité de déni de service dans Microsoft Dynamics 365 Finance and Operations | Important |
| Microsoft Dynamique | CVE-2023-36020 | Vulnérabilité de script intersite dans Microsoft Dynamics 365 (sur site) | Important |
| Microsoft Edge (basé sur Chrome) | CVE-2023-35618 | Vulnérabilité d’élévation de privilèges dans Microsoft Edge (basé sur Chromium) | Modéré |
| Microsoft Edge (basé sur Chrome) | CVE-2023-36880 | Vulnérabilité de divulgation d'informations dans Microsoft Edge (basé sur Chromium) | Faible |
| Microsoft Edge (basé sur Chrome) | CVE-2023-38174 | Vulnérabilité de divulgation d'informations dans Microsoft Edge (basé sur Chromium) | Faible |
| Microsoft Edge (basé sur Chrome) | CVE-2023-6509 | Chromium : CVE-2023-6509 À utiliser gratuitement dans la recherche du panneau latéral | Inconnu |
| Microsoft Edge (basé sur Chrome) | CVE-2023-6512 | Chromium : CVE-2023-6512 implémentation inappropriée dans l'interface utilisateur du navigateur Web | Inconnu |
| Microsoft Edge (basé sur Chrome) | CVE-2023-6508 | Chromium : CVE-2023-6508 À utiliser gratuitement dans Media Stream | Inconnu |
| Microsoft Edge (basé sur Chrome) | CVE-2023-6511 | Chromium : CVE-2023-6511 Implémentation inappropriée dans la saisie automatique | Inconnu |
| Microsoft Edge (basé sur Chrome) | CVE-2023-6510 | Chromium : CVE-2023-6510 À utiliser gratuitement dans Media Capture | Inconnu |
| Microsoft Office Outlook | CVE-2023-35636 | Vulnérabilité de divulgation d'informations dans Microsoft Outlook | Important |
| Microsoft Office Outlook | CVE-2023-35619 | Vulnérabilité d'usurpation d'identité dans Microsoft Outlook pour Mac | Important |
| Microsoft Office Word | CVE-2023-36009 | Vulnérabilité de divulgation d'informations dans Microsoft Word | Important |
| Connecteur de plate-forme Microsoft Power | CVE-2023-36019 | Vulnérabilité d’usurpation d’identité du connecteur Microsoft Power Platform | Critique |
| Fournisseur Microsoft WDAC OLE DB pour SQL | CVE-2023-36006 | Fournisseur Microsoft WDAC OLE DB pour la vulnérabilité d'exécution de code à distance de SQL Server | Important |
| DNS Microsoft Windows | CVE-2023-35622 | Vulnérabilité d'usurpation DNS Windows | Important |
| Pilote de mini-filtre Windows Cloud Files | CVE-2023-36696 | Vulnérabilité d'élévation de privilèges du pilote de mini-filtre Windows Cloud Files | Important |
| Windows Defender | CVE-2023-36010 | Vulnérabilité de déni de service de Microsoft Defender | Important |
| Serveur DHCP Windows | CVE-2023-35643 | Vulnérabilité de divulgation d'informations sur le service du serveur DHCP | Important |
| Serveur DHCP Windows | CVE-2023-35638 | Vulnérabilité de déni de service du service du serveur DHCP | Important |
| Serveur DHCP Windows | CVE-2023-36012 | Vulnérabilité de divulgation d'informations sur le service du serveur DHCP | Important |
| Windows DPAPI (interface de programmation d'applications de protection des données) | CVE-2023-36004 | Vulnérabilité d'usurpation d'identité Windows DPAPI (Data Protection Application Programming Interface) | Important |
| Partage de connexion Internet Windows (ICS) | CVE-2023-35642 | Vulnérabilité de déni de service liée au partage de connexion Internet (ICS) | Important |
| Partage de connexion Internet Windows (ICS) | CVE-2023-35630 | Vulnérabilité d'exécution de code à distance liée au partage de connexion Internet (ICS) | Critique |
| Partage de connexion Internet Windows (ICS) | CVE-2023-35632 | Pilote de fonction auxiliaire Windows pour la vulnérabilité d’élévation de privilèges WinSock | Important |
| Partage de connexion Internet Windows (ICS) | CVE-2023-35641 | Vulnérabilité d'exécution de code à distance liée au partage de connexion Internet (ICS) | Critique |
| Noyau Windows | CVE-2023-35633 | Vulnérabilité d’élévation de privilèges du noyau Windows | Important |
| Noyau Windows | CVE-2023-35635 | Vulnérabilité de déni de service du noyau Windows | Important |
| Pilotes en mode noyau Windows | CVE-2023-35644 | Élévation de privilèges du service Windows Sysmain | Important |
| Service de sous-système d'autorité de sécurité locale Windows (LSASS) | CVE-2023-36391 | Vulnérabilité d’élévation de privilèges du service du sous-système de l’autorité de sécurité locale | Important |
| Windows Média | CVE-2023-21740 | Vulnérabilité d'exécution de code à distance Windows Media | Important |
| Plateforme MSHTML Windows | CVE-2023-35628 | Vulnérabilité d'exécution de code à distance sur la plateforme Windows MSHTML | Critique |
| Pilote ODBC Windows | CVE-2023-35639 | Vulnérabilité d'exécution de code à distance du pilote ODBC Microsoft | Important |
| Serveur de téléphonie Windows | CVE-2023-36005 | Vulnérabilité d'élévation de privilèges du serveur de téléphonie Windows | Important |
| Pilote de classe de stockage de masse USB Windows | CVE-2023-35629 | Vulnérabilité d'exécution de code à distance du pilote de périphérique Microsoft USBHUB 3.0 | Important |
| Windows Win32K | CVE-2023-36011 | Vulnérabilité d’élévation de privilèges Win32k | Important |
| Windows Win32K | CVE-2023-35631 | Vulnérabilité d’élévation de privilèges Win32k | Important |
| Diagnostics XAML | CVE-2023-36003 | Vulnérabilité d’élévation de privilèges dans les diagnostics XAML | Important |
