Dans le contexte: Le surnom non officiel de « Patch Tuesday » décrit la tradition vieille de plusieurs décennies de Microsoft consistant à publier des mises à jour de sécurité pertinentes pour tous les produits de l’entreprise le même jour. Chaque deuxième mardi du mois depuis 20 ans, Redmond a mis à jour Windows, Office et de nombreux autres programmes utilisés par des millions d’utilisateurs de PC dans le monde.
Par rapport aux versions précédentes avec leur grand nombre de corrections de bogues, le Patch Tuesday de mai 2023 est une mise à jour plutôt maigre fournissant des correctifs de sécurité pour un total de 38 failles différentes. Le bulletin officiel de Microsoft du mois comprend des avis de sécurité pour plusieurs composants Windows, des programmes appartenant à la suite de productivité Office, des utilitaires Sysinternals pour les utilisateurs expérimentés et le navigateur Edge basé sur Chromium.
Les failles corrigées par le dernier Patch Tuesday sont classées comme suit : huit vulnérabilités d’élévation des privilèges, quatre vulnérabilités de contournement des fonctionnalités de sécurité, 12 vulnérabilités d’exécution de code à distance, huit vulnérabilités de divulgation d’informations, cinq vulnérabilités de déni de service (DOS) et une vulnérabilité d’usurpation d’identité. Six des bogues sont classés comme « critiques », offrant aux cybercriminels un moyen potentiel d’exécuter à distance leur code malveillant.
La liste des failles résolues dans le Patch Tuesday de mai n’inclut pas 11 vulnérabilités trouvées dans le navigateur Edge, qui ont été corrigées avec une précédente mise à jour publiée le 5 mai.
En ce qui concerne les mises à jour non liées à la sécurité, Microsoft a publié des packages de correctifs cumulatifs pour Windows 11 (KB5026372) et Windows 10 (KB5026361, KB5026362). Un rapport complet sur toutes les failles corrigées et les avis associés a été publié par Ordinateur qui bipe.
La faille zero-day la plus intéressante corrigée avec le Patch Tuesday de ce mois-ci est suivie comme CVE-2023-24932, ou « Vulnérabilité de contournement de la fonctionnalité de sécurité du démarrage sécurisé ». Le bogue a été exploité par des cybercriminels pour propager le malware BlackLotus UEFI, une menace complexe et dangereuse pour la sécurité de Windows qui, pour les attaquants disposant d’un accès physique ou de droits d’administration, pourrait contourner Secure Boot et d’autres fonctionnalités de sécurité avancées pour « posséder » complètement un Dispositif cible.
Le correctif pour CVE-2023-24932 corrige la vulnérabilité en mettant à jour le gestionnaire de démarrage Windows, mais n’est pas activé par défaut. Microsoft reconnaît que cette vulnérabilité est un contournement de la faille CVE-2022-21894 précédemment corrigée. L’autre faille 0-day activement exploitée du mois est CVE-2023-29336, ou « Win32k Elevation of Privilege Vulnerability. » Un attaquant pourrait exploiter cette faille dans le pilote du noyau Windows pour élever les privilèges des utilisateurs au niveau du système, explique Microsoft.
Enfin et surtout, Patch Tuesday corrige une vulnérabilité de 0 jour précédemment divulguée mais pas activement exploitée, suivie comme CVE-2023-29325, ou « Vulnérabilité d’exécution de code à distance Windows OLE ». La faille pourrait être exploitée en envoyant un e-mail construit de manière malveillante, forçant une version vulnérable de Microsoft Outlook à exécuter du code à distance sur la machine cible.
Microsoft a déployé les correctifs de ce mois-ci via Windows Update, des systèmes de gestion des mises à jour tels que WSUS et des téléchargements directs disponibles sur le Catalogue de mise à jour Microsoft site Internet. Apple, Cisco, CISA, Google et SAP sont d’autres éditeurs de logiciels fournissant des correctifs de sécurité synchronisés avec le Patch Tuesday de Microsoft.
