15/11/2024

Actu CybersécuritéLogiciel - OS

Patch Tuesday – Janvier 2023 : 98 failles de sécurité et une zero-day corrigées par Microsoft

Microsoft a mis en ligne le premier Patch Tuesday de l'année 2023 ! Pour ce mois de janvier, l'entreprise américaine a corrigé 98 failles de sécurité et une zero-day. Faisons le point !

Dans ce Patch Tuesday, où l'on retrouve 11 vulnérabilités critiques, Microsoft a inclus des correctifs pour de nombreux produits et composants, parmi lesquels : .NET Core, 3D Builder, Exchange Server, Microsoft Graphics Component, le service LSASRV, Office, SharePoint, Visio, Visual Studio Code, BitLocker, Windows Cryptographic Services, l'extension IKE de Windows, Windows Installer, LDAP, WMI, le Spouleur d'impression de Windows, SSTP, ou encore NTLM.

En complément, voici la liste des vulnérabilités critiques :

Il est à noter que cette liste de vulnérabilités fait référence à 5 CVE corrigées dans Microsoft Exchange Server.

Faille Zero-Day : CVE-2023-21674

Découverte par Jan Vojtěšek, Milánek, et Przemek Gmerek de chez Avast, la faille de sécurité CVE-2023-21674 affecte toutes les versions de Windows et Windows Server, y compris les versions les plus récentes et les installations de Windows Server en mode Core.

Cette faille de sécurité se situe dans le composant ALPC (Advanced Local Procedure Call) de Windows et elle permet une élévation de privilèges. Sur son site, Microsoft précise : "Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM." - La firme de Redmond précise également que cette vulnérabilité a été exploitée dans le cadre d'attaques.

Faille CVE-2023-21549

Par ailleurs, la vulnérabilité CVE-2023-21549 qui affecte le service Windows "SMB Witness" sera à suivre de près, car, bien qu'elle ne soit pas exploitée, elle est marquée comme étant divulguée publiquement.

Cependant, Stiv Kupchik, le chercheur en sécurité d'Akamai à l'origine de cette découverte (accompagné par Ophir Harpaz), a indiqué au site BleepingComputer que cette vulnérabilité ne devrait pas être classée comme divulguée publiquement, car il a suivi le processus de divulgation habituel. Soit il s'agit d'une erreur de Microsoft, soit Microsoft a d'autres informations complémentaires. À suivre.

Il est à noter que ce Patch Tuesday est le dernier pour deux systèmes d'exploitation de Microsoft : Windows 8.1 et Windows 7 !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Patch Tuesday – Janvier 2023 : 98 failles de sécurité et une zero-day corrigées par Microsoft

  • Pas de retour en lien avec des régressions observé avec cette mise à jour jusqu’à maintenant?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.