Microsoft a corrigé ce mardi 84 vulnérabilités dans le cadre de son Patch Tuesday, dont une qui a été exploitée et une autre qui a été divulguée publiquement. Les correctifs publiés traitent des vulnérabilités et expositions communes (CVE) dans Microsoft Windows et ses composants ; Azure, Azure Arc et Azure DevOps ; Microsoft Edge (basé sur Chromium) ; Office et ses composants ; Visual Studio Code ; Active Directory Domain Services et Active Directory Certificate Services ; Nu Get Client ; Hyper-V ; et Windows Resilient File System (ReFS).
Cette version s’ajoute aux 12 correctifs pour les CVE de Microsoft Edge (basé sur Chromium) publiés au début du mois. La vulnérabilité qui a été exploitée est une vulnérabilité d’élévation de privilège de Windows COM+ Event System Service. Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir des privilèges système. La vulnérabilité divulguée publiquement est une vulnérabilité de divulgation d’informations Microsoft Office. Cette vulnérabilité, découverte par Cody Thomas de SpecterOps, met en danger les jetons d’utilisateur et d’autres informations potentiellement sensibles.
« Ce qui est peut-être plus intéressant, c’est ce qui n’est pas inclus dans la version de ce mois-ci », écrit Dustin Childs pour Zero Day Initiative. « Il n’y a pas de mise à jour pour Exchange Server, alors que deux failles Exchange sont activement exploitées depuis au moins deux semaines. Ces failles ont été achetées par la ZDI au début du mois de septembre et signalées à Microsoft à ce moment-là. Comme aucune mise à jour n’est disponible pour résoudre complètement ces bugs, le mieux que les administrateurs puissent faire est de s’assurer que la mise à jour cumulative (CU) de septembre 2021 est installée. »
Source : ZDNet.com