Qu’est-ce qui vient de se passer? Microsoft a publié sa mise à jour Patch Tuesday de juin 2023 avec des correctifs pour 78 failles de sécurité, dont 38 vulnérabilités d’exécution de code à distance (RCE) dans Windows et les composants Windows, Office et les composants Office, Exchange Server, le navigateur Edge, SharePoint Server, .NET et Visual Studio , Teams, Azure DevOps, Microsoft Dynamics et le client Bureau à distance.
Six des trente-huit bugs RCE ont été répertoriés comme « tests », y compris certains qui pourraient potentiellement conduire à des attaques par déni de service (DoS) et à une élévation de privilèges. Comme l’a noté Bleeping Computer, le Patch Tuesday ne corrige aucune vulnérabilité zero-day, mais il s’agit toujours d’une mise à jour importante, compte tenu du grand nombre de défauts qu’il corrige, dont beaucoup ont été classés comme « tests ».
La liste des bugs corrigés comprend 17 vulnérabilités d’élévation des privilèges, 2 vulnérabilités de contournement des fonctionnalités de sécurité, 32 vulnérabilités RCE, 5 vulnérabilités de divulgation d’informations, 10 vulnérabilités DoS, 10 vulnérabilités d’usurpation d’identité et 1 vulnérabilité Edge résultant d’une faille dans la base de code Chromium. Cependant, il n’inclut pas les 16 failles Edge qui ont été corrigées via un bulletin de sécurité publié plus tôt ce mois-ci.
L’une des failles les plus notables qui a été corrigée par le dernier Patch Tuesday est une vulnérabilité d’élévation de privilèges dans Microsoft SharePoint, suivie sous le nom de CVE-2023-29357. Selon Microsoft, la vulnérabilité a permis aux attaquants de prendre les privilèges d’autres utilisateurs, y compris les administrateurs. Le bug aurait été activement exploité dans la nature, mais il n’y a pas de détails à ce sujet pour le moment.
Un autre bug notable annulé avec la mise à jour entrante est une vulnérabilité d’exécution de code à distance Microsoft Exchange, suivie comme CVE-2023-32031. Le bug permettrait l’exécution de code à distance authentifiée et, selon l’test de Microsoft, permet à l’attaquant de « déclencher un code malveillant dans le contexte du compte du serveur via un appel réseau ». Contrairement au bug de SharePoint, cependant, il n’y a aucun communiqué d’exploitation à l’état sauvage.
Outre les bugs susmentionnés, Microsoft a également corrigé un certain nombre de vulnérabilités dans les composants Office, notamment Excel, Outlook et OneNote. Selon la société, certains d’entre eux permettaient aux attaquants d’utiliser des documents Excel et OneNote conçus de manière malveillante pour exécuter du code à distance. Dans l’ensemble, la mise à jour de juin 2023 Patch Tuesday apporte un certain nombre de correctifs importants pour les produits Microsoft, alors téléchargez-la et installez-la sur votre appareil dès que possible pour maintenir votre sécurité en ligne.
Pendant ce temps, dans les nouvelles connexes, la version 21H2 de Windows 10 a atteint la fin de service (EoS) cette semaine, ce qui indique que Microsoft ne publiera plus de mises à jour pour cette version de Windows 10 Home, Pro, Pro Education et Pro for Workstations. Les personnes exécutant la version obsolète doivent mettre à jour leurs systèmes vers la version 22H2 de Windows 10, qui sera prise en charge jusqu’en octobre 2025.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
