Microsoft a publié aujourd’hui des mises à jour de sécurité pour plus de 100 vulnérabilités nouvellement découvertes dans son les fenêtres système d’exploitation et logiciels associés, dont quatre failles déjà exploitées. En outre, Pomme a récemment publié des mises à jour d’urgence pour éliminer deux bugs du jour zéro dans IOS.
Apple expédié la semaine dernière mises à jour d’urgence dans iOS 17.0.3 et iPadOS 17.0.3 en réponse aux attaques actives. Le correctif corrige CVE-2023-42724que les attaquants ont utilisé dans des attaques ciblées pour élever leur accès sur un appareil local.
Apple a déclaré qu’il avait également corrigé CVE-2023-5217, qui n’est pas répertorié comme un bug du jour zéro. Cependant, comme Ordinateur qui bipe soulignécette faille est provoquée par une faiblesse de l’open-source”libvpx« Bibliothèque de codecs vidéo, qui a déjà été corrigée comme une faille zero-day par Google dans le navigateur Chrome et par Microsoft dans Bord, Équipeset Skype des produits. Pour tous ceux qui comptent, c’est il s’agit de la 17e faille zero-day corrigée par Apple jusqu’à présent cette année.
Heureusement, les zero-days affectant les clients Microsoft ce mois-ci sont un peu moins graves que d’habitude, à l’exception de CVE-2023-44487. Cette faiblesse n’est pas spécifique à Windows mais existe plutôt au sein du Protocole HTTP/2 utilisé par le World Wide Web : les attaquants ont compris comment utiliser une fonctionnalité de HTTP/2 pour augmenter massivement la taille des attaques par déni de service distribué (DDoS), et ces attaques monstres se poursuivraient depuis plusieurs semaines maintenant .
Amazone, Flare nuageuse et Google tous ont publié aujourd’hui des avis sur la manière dont ils traitent CVE-2023-44487 dans leurs environnements cloud. Google Damien Menscher a écrit sur Twitter/X que l’exploit – surnommé un « attaque de réinitialisation rapide » – fonctionne en envoyant une requête puis en l’annulant immédiatement (une fonctionnalité de HTTP/2). « Cela permet aux attaquants de ne pas attendre les réponses, ce qui se traduit par une attaque plus efficace », a expliqué Menscher.
Nathalie Silvaingénieur principal en sécurité chez Laboratoires immersifsa déclaré que l’impact de cette faille sur les entreprises clientes pourrait être important et entraîner des temps d’arrêt prolongés.
« Il est crucial que les organisations appliquent les derniers correctifs et mises à jour de leurs fournisseurs de serveurs Web pour atténuer cette vulnérabilité et se protéger contre de telles attaques », a déclaré Silva. Dans la version Patch Tuesday de Microsoft de ce mois-ci, ils ont publié à la fois une mise à jour de cette vulnérabilité, ainsi qu’une solution de contournement temporaire si vous ne parvenez pas à appliquer le correctif immédiatement.
Microsoft a également corrigé les bogues du jour zéro dans Skype Entreprise (CVE-2023-41763) et Bloc de mots (CVE-2023-36563). Cette dernière vulnérabilité pourrait exposer Hachages NTLMqui sont utilisés pour l’authentification dans les environnements Windows.
« Ce n’est peut-être pas une coïncidence si Microsoft a annoncé le mois dernier que WordPad n’était plus mis à jour et qu’il serait supprimé dans une future version de Windows, bien qu’aucun calendrier précis n’ait encore été donné », a déclaré Adam Barnettingénieur logiciel principal chez Rapide7. « Sans surprise, Microsoft recommande Word en remplacement de WordPad. »
D’autres bogues notables résolus par Microsoft incluent CVE-2023-35349une faiblesse d’exécution de code à distance dans le File d’attente des messages (MSMQ), une technologie qui permet aux applications sur plusieurs serveurs ou hôtes de communiquer entre elles. Cette vulnérabilité a gagné un Score de gravité CVSS de 9,8 (10 est le pire possible). Heureusement, le service MSMQ n’est pas activé par défaut dans Windows, bien qu’Immersive Labs note que Serveur Microsoft Exchange peut activer ce service lors de l’installation.
En parlant d’Exchange, Microsoft a également corrigé CVE-2023-36778, une vulnérabilité présente dans toutes les versions actuelles d’Exchange Server qui pourrait permettre aux attaquants d’exécuter le code de leur choix. Barnett de Rapid7 a déclaré qu’une exploitation réussie nécessite que l’attaquant soit sur le même réseau que l’hôte du serveur Exchange et utilise des informations d’identification valides pour un utilisateur Exchange dans une session PowerShell.
Pour une analyse plus détaillée des mises à jour publiées aujourd’hui, consultez le Résumé du SANS Internet Storm Center. Si les mises à jour d’aujourd’hui entraînent des problèmes de stabilité ou d’utilisabilité sous Windows, Demandez à Woody.com j’aurai probablement des nouvelles à ce sujet.
Veuillez envisager de sauvegarder vos données et/ou de créer une image de votre système avant d’appliquer des mises à jour. Et n’hésitez pas à vous exprimer dans les commentaires si vous rencontrez des difficultés suite à ces correctifs.
