En ce mois de juin, Microsoft publie un Patch Tuesday avec des mises à jour de sécurité pour corriger environ une cinquantaine de vulnérabilités. Un menu qui n’est donc pas particulièrement copieux. Il ne prend pas en compte les failles dernièrement comblées dans le navigateur Microsoft Edge.
Une seule vulnérabilité CVE-2024-30080 est jugée critique. De type exécution de code à distance (côté serveur), elle affecte MSMQ (Microsoft Message Queuing) pour Windows. Pour son exploitation, Microsoft indique qu’un attaquant doit envoyer un paquet MSMQ malveillant spécialement conçu à un serveur MSMQ.
MSMQ fait référence à une implémentation d’une file d’attente de message et un service qui se retrouve dans Windows en version client et serveur. Toutefois, il ne s’agit pas d’un service par défaut sur Windows.
Une vulnérabilité précédemment divulguée
Une vulnérabilité CVE-2023-50868 a fait l’objet d’une divulgation publique, sans cependant de code d’exploitation dans la nature. Elle a fait parler d’elle en février en tant que faille dans le protocole DNSSEC (Domain Name System Security Extensions), même si sa découverte date de décembre 2023.
» Un attaquant pourrait exploiter les protocoles DNSSEC standards destinés à l’intégrité DNS en utilisant des ressources excessives sur un résolveur, provoquant un déni de service pour les utilisateurs légitimes « , écrit Microsoft.
La faille avait déjà été corrigée dans diverses implémentations DNS. C’est ici la version serveur de Windows qui est concernée.
Et un rappel habituel pour Windows 10
Pour le Patch Tuesday de juin, CVE-2023-50868 est un cas à part. Diverses vulnérabilités méritent une attention particulière, dont CVE-2024-30078 pour Windows Wi-Fi Driver et CVE-2024-30103 dans Outlook.
Microsoft profite une nouvelle fois de l’occasion pour rappeler que la version 22H2 de Windows 10 sera l’ultime mouture de ce système d’exploitation. Toutes les éditions de Windows 10 resteront prises en charge avec des mises à jour de sécurité mensuelles jusqu’au 14 octobre 2025.