MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Microsoft corrige 70 vulnérabilités ce mois. Même si aucune de ces vulnérabilités ne présente un caractère critique, plusieurs d’entre elles sont classées à haut risque avec un score de sévérité CVSSv3.1 allant de 7,0 à 8,9. Au moment de la publication de cet analyse, aucune des vulnérabilités figurant dans la liste publiée ce mois-ci n’est exploitée à l’aveugle.
Microsoft a corrigé des failles dans ses logiciels, dont des vulnérabilités par exécution de code à distance (RCE), des failles de sécurité avec élévation des privilèges ainsi que des problèmes d’usurpation, de divulgation d’information, de contournement de fonctions et de déni de service (DoS).
L’avis de sécurité concerne les produits Microsoft tels qu’Azure Data Explorer, Kestrel Web Server, Microsoft Edge (basé sur Chromium), la bibliothèque de codecs Windows, Microsoft Dynamics GP, Microsoft Office et des composants Office, Windows Hyper-V Server, SQL Server, Visual Studio Code et Microsoft Teams.
Vulnérabilités Microsoft importantes corrigées :
Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Le serveur Microsoft DNS fait l’objet d’une vulnérabilité par exécution de code à distance (RCE) qui est corrigée dans ce patch. Le serveur est uniquement affecté si les mises à jour dynamiques sont activées, un problème de configuration cependant assez courant. Si cette configuration est activée dans votre environnement, un attaquant peut alors prendre pleinement le contrôle de votre serveur DNS et exécuter du code avec des privilèges élevés.
Évaluation d’exploitabilité : Exploitation moins probable.
Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Un environnement d’exécution AppContainer avec peu de privilèges peut servir à lancer une attaque fructueuse. L’attaquant peut obtenir des privilèges élevés et exécuter ensuite du code ou accéder à des ressources avec un niveau d’intégrité supérieur à celui d’AppContainer.
Évaluation d’exploitabilité : Exploitation plus probable.
Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10, par exécution de code à distance (RCE). Elle affecte Microsoft Office Graphics. Exploitable par exécution de fichiers malveillants par un utilisateur.
Évaluation d’exploitabilité : Exploitation moins probable.
Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Par exécution de code à distance (RCE). Elle affecte Microsoft SharePoint Server. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié et avoir accès à la création de pages.
Évaluation d’exploitabilité : Exploitation plus probable.
Adobe a publié des mises à jour pour corriger 17 CVE affectant Premiere Rush, Illustrator, Photoshop, AfterEffects et l’application de bureau Creative Cloud. Parmi les 17 vulnérabilités résolues, seulement cinq (5) sont classées comme critiques.
Adobe a publié des mises à jour de sécurité pour Illustrator, Photoshop et AfterEffects pour Windows et macOS. Ces mises à jour permettent de corriger de nombreuses vulnérabilités à la fois critiques, importantes et modérées.
L’exploitation réussie de ces vulnérabilités peut entraîner un déni de service de type applicatif, l’exécution de code arbitraire, l’élévation de privilèges et des fuites de mémoire.
