Microsoft livre le premier Patch Tuesday de 2024

Microsoft corrige une vulnérabilité exploitée depuis plusieurs mois


C’est l’ouverture de la saison 2024 de Patch Tuesday pour Microsoft. Un premier rendez-vous relativement léger avec des correctifs pour moins d’une cinquantaine de vulnérabilités de sécurité, dont deux critiques.

Comme lors de l’ultime Patch Tuesday de 2023, il n’est pas fait mention de vulnérabilités 0-day pour des exploitations actives dans des attaques, avant la disponibilité d’un correctif. Il n’y a par ailleurs pas eu de divulgation publique.

À souligner que le navigateur Microsoft Edge (basé sur Chromium) a bénéficié quelques jours auparavant du comblement de plusieurs failles de sécurité, dans le cadre d’une mise à jour indépendante.


Les deux vulnérabilités critiques

De type exécution de code à distance, la vulnérabilité critique CVE-2024-20700 affecte Windows Hyper-V. Selon Microsoft, une exploitation est complexe, ce qui n’est pas le cas de l’autre vulnérabilité critique CVE-2024-20674 de contournement de sécurité qui touche Windows Kerberos.

Microsoft écrit qu’un attaquant authentifié pourrait exploiter la vulnérabilité CVE-2024-20674 via une attaque machine-in-the-middle ou une autre technique d’usurpation de réseau local, puis en envoyant un message Kerberos malveillant à la machine cliente victime afin de se faire passer pour le serveur d’authentification Kerberos.

Dans le but de parvenir à ses fins et avant d’exécuter une attaque, l’attaquant doit toutefois d’abord être en mesure d’obtenir l’accès au réseau restreint. La vulnérabilité a été signalée par un chercheur en sécurité tiers.

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n’impacte en rien le montant de votre achat. En savoir plus.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.