En début de semaine, Microsoft déployait son patch mensuel de sécurité pour Windows 8, 10 et 11 qui cible pas moins de 5 failles jugées critiques, une faille Zero day et d’autres failles plus banales.
Au total, ce sont 64 vulnérabilités qui ont ainsi été ciblées, soit moitié moins que lors du Patch Tuesday d’Août. Néanmoins, rappelons qu’en début de mois, Microsoft corrigeait 15 CVE rien que sur son navigateur Internet Edge, ainsi que des correctifs ciblant sa plateforme Windows Azure, Visual Studio, Office et Defender.
Ce sont donc 57 failles importantes et 5 failles critiques qui ont été en partie corrigées… Car Microsoft précisait que la faille CVE-2022-37969 n’avait pas de correctif disponible au moment du patch.
Un nouveau patch quelques jours après la mise à jour mensuelle
Cette faille débouche sur l’élévation des privilèges au niveau du pilote CLFS (Common Log File System) de Windows, une Zéro day inquiétante qui aurait déjà été exploitée par des pirates, mais qui nécessite qu’un attaquant ait déjà obtenu l’accès à un système vulnérable par d’autres moyens pour être exploitée.
Finalement, Microsoft n’aura pas trainé et propose déjà un patch pour corriger cette faille. La mise à jour de sécurité a été déployée en urgence et Microsoft estime que la faille est suffisamment importante pour également déployer son patch à destination de Windows 7, l’OS ayant pourtant été abandonné en 2020 par la marque.
Il est donc recommandé de procéder à la mise à jour de Windows le plus tôt possible.