Dans Patch Tuesday de ce mois, Microsoft sort des solutions pour pas moins de 92 failles. Trois d’entre elles n’étaient pas encore connues, et trois autres permettaient d’exécuter du code à distance, ce qui fait qu’il fallait les corriger rapidement.
La mise à jour mensuelle de Microsoft cible 21 problèmes de sécurité dans Edge et 71 autres dans le reste de Windows et dans des éléments ou du software pour ce dernier, allant de Windows Defender au code Visual Studio, au pilote CD-ROM, Windows Kernel, Xbox, Intune, Exchange Server et bien d’autres.
Trois bugs, à savoir CVE-2022-22006, CVE-2022-24501 et CVE-2022-23277, sont classés comme ‘critiques’, parce qu’ils permettent entre autres d’exécuter du code à distance, ce qui les rend d’autant plus dangereux pour les piratages de l’extérieur. Le reste s’est vu attribuer le label ‘important’.
Dans la liste figurent également trois failles ‘zero day’. Il s’agit là de problèmes de sécurité n’ayant précédemment pas encore été publiquement documentés, plus précisément CVE-2022-21990 (Remote Desktop Client RCE bug), CVE-2022-24459 (Windows Fax and Scan Service EoP bug) et CVE-2022-24512 (.NET and Visual Studio RCE bug). C’est surtout du premier que Microsoft s’attend à ce qu’il puisse être rapidement abusé. Voilà pourquoi le géant recommande de le corriger dans les plus brefs délais.
Avec CVE -2022-21990, il est en effet possible d’exécuter du code à distance via une connexion Remote Desktop (Remote Code Execution alias RCE) sur l’appareil ciblé, s’il établit une connexion avec le serveur agresseur.
La liste complète des codes CVE et les informations techniques connexes se trouvent dans le Microsoft Security Response Center.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici