Le patch Tuesday d’avril 2022 de Microsoft s’attaque à deux vulnérabilités zero-day

Microsoft a publié plus de 100 correctifs de sécurité pour les logiciels qui résolvent des problèmes critiques, dont deux jours zéro.

Dans le dernier né du géant de Redmond ronde de patchs, généralement publié le deuxième mardi de chaque mois dans ce qu’on appelle le Patch Tuesday, Microsoft a résolu des problèmes, notamment de nombreux bogues d’exécution de code à distance (RCE), des problèmes d’élévation de privilèges (EoP), des déni de service, des fuites d’informations et usurpation d’identité. Au total, 10 vulnérabilités sont classées comme critiques.

Les produits concernés par la mise à jour de sécurité d’avril incluent le système d’exploitation Windows, Microsoft Office, Dynamics, Edge, Hyper-V, File Server, Skype Entreprise et Windows SMB.

Continuer à lire:

Les vulnérabilités zero-day résolues dans cette mise à jour sont :

  • CVE-2022-26904: Cette faille zero-day connue affecte le service de profil utilisateur Windows et est décrite comme une vulnérabilité EoP. Le bogue a reçu un score de gravité CVSS de 7,0 et sa complexité d’attaque est considérée comme “élevée”, car “l’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant remporte une condition de concurrence”, selon Microsoft.
  • CVE-2022-24521: Ce bogue est un autre problème EoP trouvé dans le pilote Windows Common Log File System. A publié un score CVSS de 7,8, Microsoft affirme que la complexité des attaques est faible et que la société a détecté une exploitation active, bien que les failles n’aient pas été rendues publiques jusqu’à présent.

deux autres problèmes de sécurité, CVE-2022-26809 et CVE-2022-24491, sont également à noter. Ces vulnérabilités, qui affectent l’exécution des appels de procédure à distance et le système de fichiers réseau Windows, ont obtenu des scores CVSS de 9,8 et peuvent être exploitées pour déclencher RCE.

Selon le Initiative Zero Day (ZDI), le niveau de volume du patch est similaire au T1 2021.

Le mois dernier, Microsoft a résolu 71 vulnérabilités dans le lot de correctifs de sécurité de mars. Parmi les bogues traités figurent CVE-2022-22006 et CVE-2022-24501, qui sont les deux seuls bogues critiques corrigés. En février, Microsoft a corrigé 48 vulnérabilitésy compris une faille de sécurité zero-day.

Dans d’autres nouvelles de Microsoft, le géant de la technologie prévoit un changement qui pourrait signifie la fin du patch mardi comme nous le savons. Baptisé Windows Autopatch, le service de mise à jour automatique des logiciels Windows et Office sera déployé auprès des clients d’entreprise pour s’assurer qu’ils ont accès aux correctifs de sécurité plus rapidement, plutôt que d’attendre une mise à jour mensuelle – avec les versions d’urgence hors calendrier .

Windows Autopatch devrait sortir en juillet 2022.

Continuer à lire: Microsoft : Windows Autopatch arrive bientôt. Voici ce que vous devez savoir


Parallèlement à la série Patch Tuesday de Microsoft, d’autres fournisseurs ont également publié des mises à jour de sécurité accessibles ci-dessous.

Leave a Comment