Microsoft livre ses mises à jour de sécurité pour le mois de février. Un Patch Tuesday (ou Update Tuesday) pour corriger près de 75 vulnérabilités dans ses produits, parmi lesquelles trois vulnérabilités 0-day. Avant l’arrivée d’un correctif, elles ont été activement exploitées dans des attaques.
CVE-2023-23376 est une vulnérabilité de type élévation de privilèges dans le pilote Common Log File System pour le service de journalisation à usage général de Windows. Elle a été découverte par le Microsoft Threat Intelligence Center (MSTIC) et Microsoft Security Response Center (MSRC).
Également signalée en interne, CVE-2023-21715 est une vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Publisher. Elle permet à un document spécialement conçu de passer outre les règles de blocage des fichiers non fiables ou malveillants avec les macros Office.
Un patch via le Microsoft Store pour une 0-day
La troisième vulnérabilité 0-day est CVE-2023-21823. Découverte par des chercheurs en sécurité de Mandiant, elle touche le composant Windows Graphics et peut mener à une exécution de code à distance, avec la prise de contrôle d’un système vulnérable. La mise à jour de sécurité idoine est proposée via le Microsoft Store.
Pour les vulnérabilités 0-day, Microsoft n’attribue pas de niveau de dangerosité critique de manière individuelle. Il y a peu de détails pour le moment, et notamment concernant les attaques où elles sont exploitées.
Le niveau de dangerosité critique est par contre d’actualité pour plusieurs vulnérabilités d’exécution de code à distance qui n’ont pas fait l’objet d’une exploitation dans des attaques ou d’une divulgation publique. Elles affectent par exemple Word, Visual Studio et Microsoft Exchange Server.
La mort d’Internet Explorer
Rappelons par ailleurs que c’est dans le cadre de ce Patch Tuesday de février 2023 que Microsoft a planté le dernier clou dans le cercueil d’Internet Explorer. Par le biais de la diffusion d’une mise à jour de Microsoft Edge, c’est une désactivation définitive d’Internet Explorer 11 sur des versions de Windows 10.
Si des éléments visuels d’IE11 peuvent perdurer avant un prochain ménage automatique, le lancement devient inopérant au profit de Microsoft Edge.
Microsoft Edge conserve le mode Internet Explorer pour une compatibilité avec d’anciennes applications, en s’appuyant sur MSHTML. Le support du mode IE est prévu jusqu’en 2029 au minimum.