TL; DR : Microsoft a publié une nouvelle série de correctifs conçus pour corriger les bugs de Windows et d’autres produits logiciels populaires. Les mises à jour les plus importantes corrigent quelques failles du jour zéro, mais les deux bugs Exchange découverts ces dernières semaines constituent toujours un danger pour les serveurs de messagerie du monde entier.

Patch Tuesday est un terme informel utilisé par Microsoft depuis octobre 2003, mais de nos jours, il est largement accepté comme le bon moment du mois pour publier de nouvelles mises à jour de sécurité. Étant l’une des plus grandes plates-formes logicielles du marché, Windows joue un rôle majeur dans les mises à jour programmées du Patch Tuesday d’octobre.

Les mises à jour de sécurité d’octobre 2022 publiées par Microsoft incluent des correctifs pour 84 failles de sécurité trouvées dans différents composants de Windows (du Core au driver de CD-ROM), Microsoft Edge, Azure, Active Directory Domain Services, Visual Studio Code, le système de fichiers NTFS , TCP/IP, l’API Win32K et de nombreux autres produits ou fonctionnalités. Treize vulnérabilités sont classées comme « critiques », car elles représentent le plus grand danger pour les serveurs et les systèmes grand public.

Les 84 bugs susmentionnés comprennent 39 vulnérabilités d’élévation des privilèges, deux vulnérabilités de contournement des fonctionnalités de sécurité, 20 vulnérabilités d’exécution de code à distance, 11 vulnérabilités de divulgation d’informations, huit vulnérabilités de déni de service et quatre vulnérabilités d’usurpation d’identité. Une douzaine de failles supplémentaires dans le navigateur Edge ne sont pas incluses car elles ont déjà été corrigées le 3 octobre.

Le Patch Tuesday d’octobre 2022 comprend des correctifs pour deux bugs du jour zéro, une sorte de vulnérabilité qui a déjà été divulguée publiquement ou qui est activement exploitée dans des attaques. La faille zero-day activement exploitée est classée comme Windows COM+ Event System Elevation of Privilege Vulnerability (CVE-2022-41033). Selon Microsoft, un attaquant qui « parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM » tout en ayant un accès local au système ciblé.

Le bug divulgué publiquement est la vulnérabilité de divulgation d’informations Microsoft Office (CVE-2022-41043), et les attaquants pourraient l’utiliser pour divulguer des jetons d’utilisateur ou « d’autres informations potentiellement sensibles ». La faille CVE-2022-41033 a apparemment été découverte par un chercheur « anonyme », selon Microsoft, tandis que CVE-2022-41043 a été découverte par le chercheur en sécurité de SpecterOps, Cody Thomas.

Malheureusement pour les entreprises et les utilisateurs professionnels, le Patch Tuesday de ce mois-ci n’inclut pas de correctif approprié pour les bugs du jour zéro précédemment divulgués dans Microsoft Exchange. La société Redmond demande aux administrateurs système d’appliquer les mesures d’atténuation déjà recommandées fin septembre, car l’entreprise aura clairement besoin de plus de temps pour créer les correctifs.