Pour son Patch Tuesday du mois d’octobre, Microsoft publie des mises à jour de sécurité afin de corriger 117 vulnérabilités. Parmi celles-ci, trois sont critiques et cinq ont fait l’objet d’une divulgation publique, dont deux sont exploitées dans des attaques actives.
De type spoofing (usurpation d’identité), une vulnérabilité 0-day affecte la plateforme MSHTML de Windows qui est utilisée par le mode Internet Explorer dans Microsoft Edge et d’autres applications via le contrôle WebBrowser.
C’est la quatrième fois cette année qu’une vulnérabilité touchant MSHTML est exploitée dans la nature. Si Internet Explorer appartient à un passé révolu, sa technologie sous-jacente semble encore devoir hanter la sécurité de Windows.
Une 0-day pour MMC
Hormis CVE-2024-43573, l’autre vulnérabilité 0-day est CVE-2024-43572. De type exécution de code à distance, elle concerne le gestionnaire de console virtuelle Microsoft Management Console (MMC) de Windows. MMC offre aux administrateurs système un moyen de configuration et de monitoring.
» La mise à jour de sécurité empêchera l’ouverture de fichiers Microsoft Saved Console (MSC) non fiables afin de protéger les clients contre les risques associés à cette vulnérabilité « , écrit Microsoft.
Tenable note que c’est le deuxième mois consécutif que Microsoft corrige une vulnérabilité d’exécution de code à distance dans MMC. Lors du Patch Tuesday de septembre, CVE-2024-38259 n’était toutefois pas une vulnérabilité 0-day.
Des fins de support pour Windows 11
Avec le Patch Tuesday d’octobre, Microsoft rappelle qu’il s’agit des ultimes mises à jour de sécurité disponibles pour la version 22H2 de Windows 11 dans ses éditions Home et Pro. C’est aussi la fin du support pour la version 21H2 de Windows 11 avec ses éditions Enterprise, Education et IoT Enterprise (un an après les éditions Home et Pro).
» Pour vous aider à rester protégé et productif, Windows Update lancera automatiquement une mise à jour de fonctionnalité pour les appareils Windows 11 Home et Pro qui ne sont pas gérés par les départements IT lorsque ceux-ci approchent de leur fin de support. «
La semaine dernière, Microsoft a donné le coup d’envoi officiel du déploiement progressif – et prudent – de la mise à jour 2024 de Windows 11 (24H2), y compris pour des nouveautés exclusives à destination des Copilot+ PC.