Patch Tuesday – Décembre 2020 : terminons l’année avec 58 correctifs
Ces derniers mois, Microsoft avait pris l'habitude de sortir des Patch Tuesday conséquents avec plus de 100 correctifs. Pour ce dernier Patch Tuesday de l'année, ce sera plus light, avec seulement 58 correctifs.
Au sein des 58 correctifs, nous retrouvons 9 failles critiques, mais aucune de ces vulnérabilités n'a obtenu un score de gravité CVSS de 9.0 ou plus. Ce mois-ci, les produits suivants sont concernés : Windows 10, Windows Server, Office (2013, 2016 et 2019 ainsi que la version Mac), Hyper-V, Exchange Server, SharePoint, ChakraCore, Edge (ancienne version) ou encore Microsoft 365 Apps for Enterprise.
Exchange et SharePoint, les mauvais élèves du mois
Il y a deux produits à corriger en priorité en ce mois de décembre : Exchange et SharePoint. Le serveur de messagerie de Microsoft est concerné par trois failles de sécurité critiques. Les versions suivantes d'Exchange sont à patcher : Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019, c'est-à-dire les versions d'Exchange encore sous support.
De son côté, SharePoint, notamment les versions SharePoint 2010, 2013, 2016 et 2019, est touché par deux vulnérabilités remontées par la Zero Day Initiative : CVE-2020-17121 et CVE-2020-17118. Le risque c'est qu'un utilisateur authentifié sur le SharePoint puisse exécuter du code .NET arbitraire et malveillant. Puisque SharePoint sert à gérer des bibliothèques de documents, il est fortement recommandé d'appliquer ces correctifs.
Bien que la priorité pour cette fois sera de patcher vos serveurs Exchange et SharePoint, il y a également d'autres vulnérabilités qui permettent de l'exécution de code à distance. Sont concernés : Microsoft Dynamics, Excel, Visual Studio, PowerPoint ainsi que Windows NTFS par l'intermédiaire du protocole SMBv2 (CVE-2020-17096).
Par ailleurs, la CVE-2020-17095 correspond à une vulnérabilité au sein d'Hyper-V. Cette attaque par le réseau est difficile à mettre en œuvre d'après la documentation Microsoft et elle permettrait d'exécuter du code arbitraire sur l'hôte Hyper-V à partir d'une machine virtuelle.
Ce fut une année record en matière de correctif puisque Microsoft a publié 1 250 correctifs de sécurité sur l'ensemble de l'année 2020. À titre de comparaison, il y en avait eu 840 en 2019. Il faut dire que Microsoft déploie de plus en plus de services en lignes sur Azure, ce qui augmente forcément le nombre de correctifs. Néanmoins, il y a des produits tels que Windows 10 qui reviennent tous les mois.
Tous les détails sur la page habituelle : MSRC Microsoft