Patch Tuesday – Décembre 2023 : 34 vulnérabilités corrigées et une faille zero-day
Le dernier Patch Tuesday de l'année 2023 a été mis en ligne par Microsoft ! Terminons en douceur puisqu'il corrige 34 vulnérabilités et une faille de sécurité zero-day ! Faisons le point.
Ce Patch Tuesday de décembre 2023 contient 4 failles de sécurité critiques, dont voici la liste :
- Microsoft Power Platform Connector : CVE-2023-36019
- Windows - Internet Connection Sharing (ICS) : CVE-2023-35630 et CVE-2023-35641
- Windows - Internet Connection Sharing (ICS) : CVE-2023-36397
- Windows - MSHTML : CVE-2023-35628
Par ailleurs, d'autres produits de chez Microsoft et des composants Windows sont directement concernés. Nous pouvons citer quelques exemples : Microsoft Dynamics, le pilote Microsoft Bluetooth, Microsoft Office (Word, Outlook), le service DNS, Windows Defender, le rôle DHCP Server, le driver ODBC Windows, ou encore le noyau du système d'exploitation Windows. En plus de ces vulnérabilités, il faut ajouter 8 failles de sécurité corrigées dans le navigateur Microsoft Edge.
Le point sur la faille de sécurité zero-day
La faille de sécurité zero-day corrigée par Microsoft est désormais associée à la référence CVE-2023-20588. Cette vulnérabilité de type "division par zero" affecte certains processeurs AMD et peut être utilisée pour extraire des données sensibles de la machine. La liste des processeurs affectés est disponible dans le bulletin de sécurité d'AMD.
Bien qu'elle soit corrigée aujourd'hui, elle n'est pas nouvelle. En effet, elle a été révélée en août 2023. AMD n'a jamais fourni le moindre correctif, mais uniquement quelques mesures d'atténuation notamment à destination des développeurs. Pour autant, cette vulnérabilité n'a pas été exploitée par les cybercriminels et nécessite un accès local à la machine. À ce sujet, AMD précise : "AMD estime que l'impact potentiel de cette vulnérabilité est faible car elle nécessite un accès local."
Par ailleurs, sachez que cette vulnérabilité a été corrigée au sein de certaines distributions Linux, notamment Debian.
D'autres articles sont disponibles pour les nouvelles mises à jour Windows 10 et Windows 11 :