Patch Tuesday: Microsoft corrige un zéro‑day activement exploité et 85 failles

L’édition septembre du Patch Tuesday inclut un correctif pour une faille d'exécution de code à distance dans MSHTML déjà divulguée et activement exploitée.

L’édition septembre du Patch Tuesday inclut un correctif pour une faille d’exécution de code à distance dans MSHTML déjà divulguée et activement exploitée.

L’arrivée du deuxième mardi du mois ne peut signifier qu’une chose en termes de cybersécurité, Microsoft déploie des correctifs pour les failles de sécurité dans Windows et ses autres produits. Cette fois-ci, le Patch Tuesday de Microsoft apporte des correctifs à pas moins de 86 failles de sécurité, dont une qui a déjà été divulguée et activement exploitée dans la nature. Sur ce total, trois failles de sécurité ont reçu la note de gravité la plus élevée, soit « critique ».

Indexée sous le nom de CVE-2021-40444, la vulnérabilité d’exécution de code à distance, classée comme critique sur l’échelle CVSS, réside dans MSHTML, un moteur de navigateur pour Internet Explorer, également connu sous le nom de Trident. Bien que Microsoft ait publié un avis concernant cette journée zéro activement exploitée, il n’a pas fourni de mise à jour hors bande et a plutôt choisi de la corriger dans le cadre du lot de mises à jour de sécurité de ce mois-ci.

« Un attaquant pourrait créer un contrôle ActiveX malveillant qui serait utilisé par un document Microsoft Office hébergeant le moteur de rendu du navigateur. L’attaquant devrait alors convaincre l’utilisateur d’ouvrir le document malveillant. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système pourraient être moins touchés que les utilisateurs qui fonctionnent avec des droits d’utilisateur administratifs », souligne Microsoft, afin d’expliquer comment un attaquant pourrait exploiter la vulnérabilité.

Une autre vulnérabilité critique qui mérite d’être mentionnée réside dans Open Management Infrastructure (OMI), un projet open-source qui vise à améliorer les normes de gestion d’entreprise basée sur le Web. Répertoriée sous le nom de CVE-2021-38647, la vulnérabilité d’exécution de code à distance a obtenu un score de 9,8 sur 10 sur l’échelle CVSS. Selon l’entreprise, un attaquant pourrait exploiter la faille de sécurité en envoyant un message spécialement conçu via HTTPS à un port écoutant OMI sur un système sensible.

Un autre bogue d’exécution de code à distance vient clore le trio de failles de sécurité avec une classification critique. Indexée sous le nom de CVE-2021-36965,, la vulnérabilité réside dans le composant Windows WLAN AutoConfig Service, qui est responsable de la connexion automatique aux réseaux sans fil.

Des mises à jour de sécurité ont été publiées pour un large éventail de produits, notamment Microsoft Office, Edge, SharePoint, ainsi que d’autres produits du portefeuille de Microsoft.

Toutes les mises à jour sont disponibles via ce Catalogue Microsoft Update pour toutes les versions de Windows prises en charge. Les utilisateurs réguliers et les administrateurs système ont tout intérêt à appliquer les correctifs dès que possible.

Infolettre

Discussion