AVIS D’EXPERT – Pour ce dernier Patch Tuesday de 2022, Microsoft et Mozilla publient des mises à jour. Microsoft résout un total de 56 CVE uniques. 8 CVE constituent des révisions et 48 sont entièrement nouvelles. On trouve une vulnérabilité Zero Day de l’OS Windows et deux vulnérabilités divulguées publiquement, auxquelles vous devez prêter attention. Mozilla résout un total de 11 CVE uniques dans Firefox, Firefox ESR et Thunderbird. Pour les lecteurs de Solution Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti.
Microsoft résout une vulnérabilité de contournement de fonction de sécurité (SFB) dans Windows SmartScreen (CVE-2022-44698), qui affecte Windows 10, Server 2016 et les éditions plus récentes de l’OS Windows et de l’OS Server. Cette CVE permet à un pirate de créer un fichier malveillant pour échapper aux défenses Mark of the Web (MoTW), afin de provoquer une perte d’intégrité et de disponibilité des fonctions de sécurité comme Mode protégé dans Microsoft Office. Ainsi, les contrôles de réputation ne vérifient pas aussi soigneusement le téléchargement des fichiers depuis Internet. Cette CVE est classée Moderate, avec un score CVSSv3.1 de 5,4/5,0. Les entreprises qui utilisent des méthodes de priorisation traditionnelles peuvent ne pas considérer cette CVE comme prioritaire, bien que son exploitation ait été confirmée.
Microsoft résout une vulnérabilité d’élévation de privilèges dans le noyau graphique DirectX (CVE- 2022-44710). Cette vulnérabilité a été divulguée publiquement, ce qui augmente les risques d’exploitation potentielle. Cette vulnérabilité affecte Windows 11 22H2 et oblige le pirate à gagner une condition de course. Mais, si elle est exploitée, le pirate obtient des privilèges système sur le système affecté.
Microsoft met à jour les informations de FAQ d’une vulnérabilité de divulgation d’informations Microsoft Office initialement résolue en octobre 2022 (CVE-2022-41043). Cette vulnérabilité concerne uniquement Microsoft Office pour Mac.
Priorités du Patch Tuesday de décembre 2022
- Les mises à jour de l’OS Microsoft correspondant à CVE-2022-44698 sont en tête de la liste des priorités ce mois-ci. Les mises à jour d’OS pour les branches Windows 10 et 11 résolvent un total de 26 CVE, dont une paire de CVE du spouleur d’impression, alors assurez-vous que vos groupes pilotes sont bien prêts à tester toutes les applications critiques.
- Mettez à jour tous les navigateurs. Mozilla publie des mises à jour de sécurité pour Firefox pour le Patch Tuesday du 13 décembre 2022. Une vulnérabilité Zero Day Google Chrome a aussi été récemment résolue, lors d’une mise à jour en novembre.