Microsoft a officiellement publié des correctifs pour 112 vulnérabilités de sécurité nouvellement découvertes dans le cadre de sa Patch mardi de novembre 2020, y compris une faille zero-day activement exploitée et révélée par l’équipe de sécurité de Google la semaine dernière.
Le déploiement corrige les failles, dont 17 sont classées comme critiques, 93 sont classées comme importantes et deux sont classées de faible gravité, ce qui porte à nouveau le nombre de correctifs à plus de 110 après une baisse le mois dernier.
Les mises à jour de sécurité englobent une gamme de logiciels, notamment Microsoft Windows, Office et Office Services et Web Apps, Internet Explorer, Edge, ChakraCore, Exchange Server, Microsoft Dynamics, la bibliothèque de codecs Windows, Azure Sphere, Windows Defender, Microsoft Teams et Visual Studio .
Le chef parmi ceux fixés est CVE-2020-17087 (Score CVSS 7,8), une faille de dépassement de mémoire tampon dans le pilote de cryptographie du noyau Windows (« cng.sys ») qui a été révélée le 30 octobre par l’équipe Google Project Zero comme étant utilisée en conjonction avec un zéro jour Chrome pour compromettre Windows 7 et Utilisateurs de Windows 10.
De son côté, Google a publié une mise à jour de son navigateur Chrome pour répondre au jour zéro (CVE-2020-15999) le mois dernier.
L’avis de Microsoft concernant la faille n’entre dans aucun détail au-delà du fait qu’il s’agissait d’une « vulnérabilité d’élévation de privilège locale du noyau Windows » en partie pour restructurer les avis de sécurité conformément au format CVSS (Common Vulnerability Scoring System) à partir de ce mois-ci.
En dehors du jour zéro, la mise à jour corrige un certain nombre de vulnérabilités d’exécution de code à distance (RCE) affectant Exchange Server (CVE-2020-17084), Système de fichiers réseau (CVE-2020-17051) et Microsoft Teams (CVE-2020-17091), ainsi qu’une faille de contournement de sécurité dans le logiciel de virtualisation Windows Hyper-V (CVE-2020-17040).
CVE-2020-17051 est noté 9,8 sur un maximum de 10 sur le score CVSS, ce qui en fait une vulnérabilité critique. Microsoft a cependant noté que la complexité d’attaque de la faille – les conditions indépendantes de la volonté de l’attaquant qui doivent exister pour exploiter la vulnérabilité – est faible.
Comme pour le jour zéro, les avertissements associés à ces lacunes de sécurité sont légères sur les descriptions, avec peu ou pas d’informations sur la façon dont ces failles RCE sont utilisées de manière abusive ou quelle fonctionnalité de sécurité dans Hyper-V est contournée.
Parmi les autres failles critiques corrigées par Microsoft ce mois-ci, citons les vulnérabilités de corruption de mémoire dans Microsoft Scripting Engine (CVE-2020-17052) et Internet Explorer (CVE-2020-17053), ainsi que de multiples failles RCE dans la bibliothèque de codecs HEVC Video Extensions.
Il est fortement recommandé aux utilisateurs Windows et aux administrateurs système d’appliquer les derniers correctifs de sécurité pour résoudre les menaces associées à ces problèmes.
Pour installer les dernières mises à jour de sécurité, les utilisateurs de Windows peuvent se diriger vers Démarrer> Paramètres> Mise à jour et sécurité> Windows Update, ou en sélectionnant Rechercher les mises à jour Windows.