Patch Tuesday – Septembre 2021 : 60 vulnérabilités et 2 zero-day corrigées !
À l'occasion du deuxième mardi du mois de septembre, Microsoft a publié son habituel Patch Tuesday ! Ce mois-ci, il corrige 60 failles de sécurité et deux vulnérabilités zero-day.
Microsoft a corrigé 60 failles de sécurité, dont 3 considérées comme critiques, 1 comme modérée et 56 comme importantes. Si l'on tient compte des 26 failles de sécurité corrigées dans Microsoft Edge, le total est de 86 vulnérabilités. Parmi elles, 27 vulnérabilités sont de type "élévation de privilèges".
Parmi les autres produits concernés par ce Patch Tuesday, nous retrouvons notamment : Microsoft Office (Excel, Access, SharePoint, Visio), Windows, Azure Sphere, Azure Open Management Infrastructure, Visual Studio, Windows Bitlocker, Windows Event Tracing, Windows Installer, Windows SMB, Windows Subsystem for Linux ou encore le noyau Windows.
Sommaire
Deux failles zero-day corrigées dont la faille MSHTML
Commençons par une bonne nouvelle : la vulnérabilité critique (et zero-day) située dans le moteur MSHTML d'Internet Explorer et qui touche Microsoft Office a été corrigée ! Pour rappel, il faut disposer d'un document Office malveillant pour exploiter cette faille de sécurité et infecter la machine de la victime. Il y a des campagnes de phishing en cours.
La seconde faille zero-day qui est connue publiquement, mais qui ne semble pas exploitée correspond à la référence CVE-2021-36968. Il s'agit d'une élévation de privilèges au sein du composant DNS de Windows. D'après les informations publiées sur le site de Microsoft, elle touche seulement Windows 7 SP1, Windows Server 2008 SP2 et Windows Server 2008 R2 SP1.
Un nouveau correctif pour la faille PrintNightmare
Pour rappel, PrintNightmare (CVE-2021-34527 et CVE-2021-36958), c'est le nom de la vulnérabilité critique qui a beaucoup fait parler d'elle ces derniers mois et qui touche le service "Spouleur d'impression" de Windows. Microsoft a déjà publié un correctif, mais il était partiellement efficace.
Au sein du Patch Tuesday de Septembre 2021, la firme de Redmond a publié un nouveau correctif de sécurité pour - enfin - venir à bout de PrintNightmare et plus particulièrement de la CVE "CVE-2021-36958". Comme les autres, il est intégré au patch cumulatif que vous pouvez installer sur vos postes de travail et serveur.
D'autres éditeurs publient des mises à jour !
Au-delà de Microsoft, il y a de nombreux éditeurs qui viennent de publier des mises à jour de sécurité pour leurs produits. Hier, je vous parlais de Google qui a publié une mise à jour de sécurité pour Chrome 93 afin de corriger deux failles zero-day.
De son côté, Apple a publié une mise à jour pour iOS et macOS afin de patcher deux failles zero-day dont une qui est exploitée par le logiciel espion Pegasus.
Si vous utilisez Linux et plus particulièrement Ubuntu, sachez qu'une update est disponible suite à la découverte de plusieurs vulnérabilités dans le noyau Linux d'Ubuntu. Enfin, si vous avez un NAS QNAP, l'éditeur vient de publier une mise à jour pour de sécurité son système QTS.