Le premier patch mardi de 2023 comprend des correctifs pour 98 failles de sécurité et un bug zero-day

First Patch Tuesday of 2023 includes fixes for 98 security flaws and one zero-day bug

Pourquoi c’est important : « Patch Tuesday » est le terme non officiel utilisé par Microsoft pour la publication mensuelle de corrections de bugs pour ses produits logiciels. Comme tous les deux mois depuis octobre 2003, Microsoft a corrigé de nombreuses failles en janvier 2023 qui pourraient apporter le chaos et les logiciels malveillants à Windows.

Après une version plus légère en décembre 2022, le Patch Tuesday de janvier 2023 revient à corriger une énorme quantité de failles de sécurité dans les logiciels Microsoft. Les nouvelles mises à jour sont les dernières conçues pour prendre en charge Windows 7 et Windows 8 à côté de Windows 10 et Windows 11, et elles fournissent des correctifs pour 98 vulnérabilités au total, y compris une faille zero-day potentiellement dangereuse.

Outre Windows, la liste des logiciels, fonctionnalités et rôles concernés par le Patch Tuesday de janvier 2023 comprend la plate-forme .NET Core, Azure, Microsoft Office, Exchange, Visual Studio Code, etc. Les composants Windows nécessitant des correctifs incluent BitLocker, le gestionnaire de démarrage du système d’exploitation, les services cryptomonnaies, le Core, les composants du spouleur d’impression et bien plus encore.

Parmi les 98 vulnérabilités corrigées, onze ont été classées comme « critiques » : Microsoft les considère comme les bugs les plus dangereux, car ils pourraient être exploités pour permettre l’exécution de code à distance, contourner les fonctions de sécurité et élever les privilèges des utilisateurs jusqu’au niveau SYSTEM.

Le premier patch mardi de 2023 comprend des correctifs pour

Compte tenu du type de failles et des effets qu’elles pourraient avoir sur le système, Microsoft a classé les vulnérabilités comme suit : 39 vulnérabilités d’élévation de privilèges, 4 vulnérabilités de contournement des fonctionnalités de sécurité, 33 vulnérabilités d’exécution de code à distance, 10 vulnérabilités de divulgation d’informations, 10 vulnérabilités de déni de service. vulnérabilités et 2 vulnérabilités d’usurpation d’identité. Une liste complète de tous les bugs résolus et des test connexes a été publiée par Bleeping Computer et est disponible ici.

La seule faille zero-day du mois, qui a été découverte par les chercheurs d’Avast et qui était déjà exploitée par des pirates et des cybercriminels « dans la nature », est la vulnérabilité d’élévation de privilèges de l’appel de procédure locale avancée Windows (ALPC). Également connue sous le nom de CVE-2023-21674, la faille pourrait conduire à une fuite du bac à sable du navigateur. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d’accès SYSTEM, explique Microsoft. Une autre faille dans Windows SMB (CVE-2023-21549) a été révélée publiquement mais pas encore exploitée.

Comme d’habitude, les mises à jour de sécurité Windows pour janvier 2023 sont déjà distribuées via le service officiel Windows Update, les systèmes de gestion des mises à jour tels que WSUS et sous forme de téléchargements directs à partir du catalogue Microsoft Update. Parmi les autres sociétés qui publient leurs mises à jour de sécurité en synchronisation avec le Patch Tuesday de Microsoft, citons Adobe, Cisco, Citrix, Fortinet, Intel, SAP et Synology.