La saison 2023 de Patch Tuesday se termine pour Microsoft avec la publication de correctifs pour 33 vulnérabilités de sécurité. Ce total pour ce mois de décembre met de côté le cas du navigateur Microsoft Edge avec socle Chromium qui a déjà bénéficié de correctifs en amont.
Sur les 33 failles comblées, quatre sont avec un niveau de dangerosité critique. Chose devenue rare désormais, il n’y a pas de correction d’une vulnérabilité 0-day pour le Patch Tuesday de décembre. Ce genre de vulnérabilité fait l’objet d’une exploitation active dans des attaques, alors qu’un patch n’était pas disponible.
Traditionnellement, le tout dernier Patch Tuesday de l’année est léger. Une tradition qui est ainsi respectée pour 2023.
Les quatre vulnérabilités critiques
CVE-2023-35630 et CVE-2023-35641 sont des vulnérabilités de type exécution de code à distance qui affectent le service Internet Connection Sharing (ICS) dans Windows. ICS permet à un ordinateur connecté à Internet de partager sa connexion avec d’autres ordinateurs sur un réseau local. Ce service n’est toutefois pas activé par défaut.
CVE-2023-35628 est une vulnérabilité d’exécution de code à distance pour la plateforme MSHTML de Windows. Selon Microsoft, un attaquant peut l’exploiter via un e-mail spécialement conçu qui est traité de manière automatique lors d’une récupération par le client Outlook. L’exploitation se produit avant une prévisualisation. Elle est cependant jugée particulièrement complexe.
CVE-2023-36019 est une vulnérabilité de type usurpation d’identité qui concerne Microsoft Power Platform Connector pour la création d’applications métier personnalisées et d’agents virtuels, l’automatisation de processus.
Le bilan de l’année 2023
D’après la société de cybersécurité Tenable, Microsoft a corrigé cette année 909 vulnérabilités de sécurité dans le cadre de son Patch Tuesday. C’est une petite hausse de 0,87 % par rapport à 2022. Le mois de juillet a été le plus copieux avec 130 vulnérabiltés.
Près de 90 % de toutes les vulnérabilités corrigées avaient un niveau de dangerosité important. Il a été critique pour 9,6 %. Les vulnérabilités d’exécution de code à distance ont pesé pour 36 % de toutes les failles.
En outre, Microsoft a publié des correctifs pour 23 vulnérabilités 0-day, dont plus de la moitié étaient de type élévation de privilèges.