Les mises à jour Patch Tuesday de Microsoft pour le mois d’avril ont résolu un total de 128 vulnérabilités de sécurité couvrant l’ensemble de son portefeuille de produits logiciels, notamment Windows, Defender, Office, Exchange Server, Visual Studio et Print Spooler, entre autres.
10 des 128 bogues corrigés sont classés critiques, 115 sont classés importants et trois sont classés de gravité modérée, l’un des défauts étant répertorié comme publiquement connu et un autre faisant l’objet d’une attaque active au moment de la publication.
Les mises à jour s’ajoutent à 26 autres défauts résolu par Microsoft dans son navigateur Edge basé sur Chromium depuis le début du mois.
La faille activement exploitée (CVE-2022-24521, score CVSS : 7,8) concerne une vulnérabilité d’élévation des privilèges dans le système de fichiers journaux Windows Common (CLFS). L’Agence américaine de sécurité nationale (NSA) et les chercheurs de CrowdStrike Adam Podlosky et Amir Bazine sont crédités d’avoir signalé la faille.
La deuxième faille zero-day publiquement connue (CVE-2022-26904score CVSS : 7,0) concerne également un cas d’élévation de privilèges dans le service de profil utilisateur Windows, dont l’exploitation réussie « nécessite qu’un attaquant gagne une condition de concurrence ».
D’autres failles critiques à noter incluent un certain nombre de failles d’exécution de code à distance dans RPC Runtime Library (CVE-2022-26809score CVSS : 9,8), système de fichiers réseau Windows (CVE-2022-24491 et CVE-2022-24497scores CVSS : 9,8), Service Windows Server (CVE-2022-24541), Windows PME (CVE-2022-24500) et Microsoft Dynamics 365 (CVE-2022-23259).
Microsoft a également corrigé jusqu’à 18 failles dans Windows DNS Server, une faille de divulgation d’informations et 17 failles d’exécution de code à distance, qui ont toutes été signalées par le chercheur en sécurité Yuki Chen. 15 failles d’escalade de privilèges dans le composant Windows Print Spooler ont également été corrigées.
Les correctifs arrivent une semaine après que le géant de la technologie a annoncé son intention de mettre à disposition une fonctionnalité appelée AutoPatch en juillet 2022 qui permet aux entreprises d’accélérer l’application des correctifs de sécurité en temps opportun tout en mettant l’accent sur l’évolutivité et la stabilité.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs pour corriger plusieurs vulnérabilités, à savoir —