Le Patch Tuesday de Microsoft apporte des correctifs pour plus de 80 vulnérabilités dans Windows, Office, Edge, etc.

Le Patch Tuesday De Microsoft Apporte Des Correctifs Pour Plus

En bref : si vous ne l’avez pas déjà fait, arrêtez ce que vous faites et installez la dernière mise à jour Patch Tuesday. Revenez ensuite et découvrez à quel point cela est vraiment important : pas moins de 87 failles de sécurité allant d’importantes à critiques ont été corrigées dans plusieurs produits Microsoft. Cela inclut des correctifs pour le tristement célèbre PrintNightmare et une vulnérabilité du jour zéro d’Office qui est activement exploitée dans la nature.

La mise à jour du Patch Tuesday de ce mois-ci est peut-être légère comme une plume, mais ne vous y trompez pas. Microsoft a inclus des correctifs pour pas moins de 67 vulnérabilités de sécurité, 87 si vous comptez plusieurs correctifs pour les trous dans Microsoft Edge basé sur Chromium. Les failles affectent plusieurs produits Microsoft, notamment Windows, Windows DNS, le sous-système Windows pour Linux, Visual Studio, Office, SharePoint Server, Edge et Azure.

Plus particulièrement, la mise à jour corrige une faille Office du jour zéro (CVE-2021-40444) que les pirates exploitent activement. La nouvelle a éclaté à ce sujet il y a une semaine, mais Microsoft n’était pas en mesure de publier un correctif hors bande à l’époque. Le problème est lié à une méthode d’attaque qui utilise des fichiers Office malveillants, extrêmement facile à exécuter et fiable à 100 %. À l’ouverture d’un fichier, Office dirigera les utilisateurs vers une page Web via Internet Explorer qui télécharge automatiquement les logiciels malveillants sur votre ordinateur.

Le Patch Tuesday de Microsoft apporte des correctifs pour plus

L’exploit est possible en raison d’un bug dans le composant MSHTML de Microsoft Office utilisé pour rendre les pages du navigateur dans le contexte d’un fichier Word. Windows 7, Windows 10 et Windows Server 2008 et versions ultérieures sont tous concernés.

La mise à jour de sécurité contient également des correctifs pour un trio de CVE qui affectent le pilote du système de fichiers journaux communs de Windows : CVE-2021-36955, CVE-2021-36963 et CVE-2021-38633. Il s’agit de vulnérabilités d’escalade de privilèges qui pourraient permettre à un attaquant (par exemple, un opérateur de ransomware) d’apporter des modifications à votre PC et d’affecter toutes les versions de Windows. Heureusement, rien n’indique qu’ils ont été exploités dans la nature.

Le Patch Tuesday de Microsoft apporte des correctifs pour plus

De plus, Microsoft a corrigé quatre failles d’élévation des privilèges récemment découvertes dans le service Print Spooler de Windows 10. Celles-ci sont classées sous CVE-2021-38667, CVE-2021-36958, CVE-2021-38671 et CVE-2021-40447.

Les entreprises utilisant Windows 7, Windows Server 2008 et Windows Server 2008 R2 doivent également installer ce correctif, car il inclut un correctif pour CVE-2021-36968, une vulnérabilité d’élévation des privilèges présente dans Windows DNS qui est facile à exploiter et ne nécessitent une interaction avec l’utilisateur.

D’autres sociétés ont également publié des mises à jour de sécurité que les utilisateurs doivent installer dès que possible. Apple a des mises à jour qui corrigent une vulnérabilité majeure du zéro-clic dans tous ses systèmes d’exploitation. Adobe propose plusieurs mises à jour de sécurité qui affectent ses produits Creative Cloud. Google a des correctifs pour les défauts importants et critiques d’Android. Les équipes de sécurité doivent examiner les dernières mises à jour de sécurité de Cisco, SAP, Citrix, Siemens, Schneider Electric, Oracle Linux, SUSE et Red Hat.