Microsoft a déployé mardi son programme mise à jour de sécurité mensuelle avec des correctifs pour 55 failles de sécurité affectant Windows, Exchange Server, Internet Explorer, Office, Hyper-V, Visual Studio et Skype Entreprise.
Sur ces 55 bogues, quatre sont classés comme critiques, 50 sont classés comme importants et un est répertorié comme étant de gravité modérée. Trois de ces vulnérabilités sont connues du public, même si, contrairement au mois dernier, aucune d’entre elles n’est en cours d’exploitation active au moment de la publication.
Le plus critique des défauts corrigés est CVE-2021-31166, une vulnérabilité d’exécution de code à distance vermifuge dans la pile de protocoles HTTP. Le problème, qui pourrait permettre à un attaquant non authentifié d’envoyer un paquet spécialement conçu à un serveur ciblé, est noté 9,8 sur un maximum de 10 sur l’échelle CVSS.
Une autre vulnérabilité à noter est une faille d’exécution de code à distance dans Hyper-V (CVE-2021-28476), lequel marque aussi la gravité la plus élevée parmi toutes les failles corrigées ce mois-ci avec une note CVSS de 9,9.
«Ce problème permet à une machine virtuelle invitée de forcer le noyau de l’hôte Hyper-V à lire à partir d’une adresse arbitraire et potentiellement invalide», a déclaré Microsoft dans son avis. « Le contenu de l’adresse lue ne serait pas renvoyé à la VM invitée. Dans la plupart des cas, cela entraînerait un déni de service de l’hôte Hyper-V (bugcheck) en raison de la lecture d’une adresse non mappée. »
«Il est possible de lire à partir d’un registre de périphérique mappé en mémoire correspondant à un périphérique matériel connecté à l’hôte Hyper-V, ce qui peut déclencher des effets secondaires supplémentaires, spécifiques au périphérique matériel, susceptibles de compromettre la sécurité de l’hôte Hyper-V», a noté le fabricant Windows.
En outre, la mise à jour Patch Tuesday corrige une faille de corruption de la mémoire du moteur de script dans Internet Explorer (CVE-2021-26419) et quatre faiblesses de Microsoft Exchange Server, marquant le troisième mois consécutif que Microsoft a expédié des correctifs pour le produit depuis que les exploits de ProxyLogon ont été découverts en mars –
- CVE-2021-31207 (Score CVSS: 6,6) – Vulnérabilité de contournement des fonctionnalités de sécurité (connue publiquement)
- CVE-2021-31195 (Score CVSS: 6,5) – Vulnérabilité d’exécution de code à distance
- CVE-2021-31198 (Score CVSS: 7,8) – Vulnérabilité d’exécution de code à distance
- CVE-2021-31209 (Score CVSS: 6,5) – Vulnérabilité d’usurpation d’identité
Alors que CVE-2021-31207 et CVE-2021-31209 ont été démontrés au concours Pwn2Own 2021, Orange Tsai de DEVCORE, qui a révélé la vulnérabilité ProxyLogon Exchange Server, est crédité du rapport CVE-2021-31195.
Ailleurs, la mise à jour corrige un grand nombre de bogues d’escalade de privilèges dans Windows Container Manager Service, une vulnérabilité de divulgation d’informations dans Windows Wireless Networking et plusieurs failles d’exécution de code à distance dans Microsoft Office, Microsoft SharePoint Server, Skype for Business et Lync, Visual Studio, et Windows Media Foundation Core.
Pour installer les dernières mises à jour de sécurité, les utilisateurs de Windows peuvent se diriger vers Démarrer> Paramètres> Mise à jour et sécurité> Windows Update, ou en sélectionnant Rechercher les mises à jour Windows.
