Dans le cadre du Patch Tuesday de ce mois-ci, Microsoft a publié aujourd’hui un nouveau lot de mises à jour de sécurité pour corriger un total de 129 vulnérabilités de sécurité nouvellement découvertes affectant diverses versions de ses systèmes d’exploitation Windows et des logiciels associés.
Sur les 129 bogues couvrant ses différents produits – Microsoft Windows, navigateur Edge, Internet Explorer, ChakraCore, SQL Server, Exchange Server, Office, ASP.NET, OneDrive, Azure DevOps, Visual Studio et Microsoft Dynamics – qui ont reçu de nouveaux correctifs, 23 sont répertoriés comme critiques, 105 sont importants et un est de gravité modérée.
Contrairement aux derniers mois, aucune des vulnérabilités de sécurité que le géant de la technologie a corrigées en septembre n’est répertoriée comme étant publiquement connue ou attaquée active au moment de la publication ou du moins ignorée de Microsoft.
Une vulnérabilité de corruption de mémoire (CVE-2020-16875) dans le logiciel Microsoft Exchange vaut la peine de souligner toutes les failles critiques. L’exploitation de cette faille pourrait permettre à un attaquant d’exécuter du code arbitraire au niveau du SYSTÈME en envoyant un e-mail spécialement conçu à un serveur Exchange vulnérable.
«Une vulnérabilité d’exécution de code à distance existe dans le logiciel Microsoft Exchange lorsque le logiciel ne gère pas correctement les objets en mémoire», explique Microsoft. « Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créer de nouveaux comptes. »
Microsoft a également corrigé deux failles critiques d’exécution de code à distance dans la bibliothèque de codecs Windows; les deux existent dans la manière dont la bibliothèque de codecs Microsoft Windows gère les objets en mémoire, mais alors que l’un (CVE-2020-1129) pourrait être exploitée pour obtenir des informations susceptibles de compromettre davantage le système de l’utilisateur, l’autre (CVE-2020-1319) pourrait être utilisé pour prendre le contrôle du système concerné.
En plus de cela, deux failles d’exécution de code à distance affectent l’implémentation sur site de Microsoft Dynamics 365, mais les deux nécessitent l’authentification de l’attaquant.
Microsoft a également corrigé six vulnérabilités critiques d’exécution de code à distance dans SharePoint et une dans SharePoint Server. Bien que l’exploitation de la vulnérabilité dans SharePoint Server nécessite une authentification, d’autres failles dans SharePoint ne le font pas.
D’autres défauts critiques que le géant de la technologie a corrigés ce mois-ci résident dans Windows, Windows Media Audio Decoder, Windows Text Service Module, Windows Camera Codec Pack, Visual Studio, Scripting Engine, Microsoft COM pour Windows, Microsoft Browser et Graphics Device Interface.
Les vulnérabilités marquées comme importantes résident dans Windows, Active Directory, Active Directory Federation Services (ADFS), Internet Explorer Browser Helper, Jet Database Engine, ASP.NET Core, Dynamics 365, Excel, Graphics Component, Office, Office SharePoint, SharePoint Server, SharePoint , Word, OneDrive pour Windows, moteur de script, Visual Studio, Win32k, Windows Defender Application Control, Windows DNS, etc.
La plupart de ces vulnérabilités permettent la divulgation d’informations, l’élévation de privilèges et la création de scripts intersites. Certains mènent également à des attaques d’exécution de code à distance. En revanche, d’autres permettent le contournement des fonctionnalités de sécurité, l’usurpation d’identité, la falsification et les attaques par déni de service.
Il est vivement conseillé aux utilisateurs Windows et aux administrateurs système d’appliquer les derniers correctifs de sécurité dès que possible pour empêcher les cybercriminels et les pirates de prendre le contrôle de leurs ordinateurs.
Pour installer les mises à jour de sécurité, accédez à Paramètres → Mise à jour et sécurité → Windows Update → Rechercher les mises à jour ou installer les mises à jour manuellement.