Octobre est le Cybersecurity Awareness Month (mois de sensibilisation à la cybersécurité) ! Microsoft publie des mises à jour pour Windows, Office, .Net et différents services Azure pour résoudre un total de 117 nouvelles CVE. Deux d’entre elles sont des exploitations Zero Day, toutes deux également divulguées publiquement. En outre, on compte trois autres CVE divulguées publiquement, mais pour lesquelles aucune exploitation n’a été signalée.
On nous signale que la mise à jour Microsoft du mois résout quatre CVE tierces supplémentaires. Cela inclut 3 CVE Chromium résolues dans la dernière mise à jour du navigateur Edge et une CVE de l’implémentation cURL Windows. De plus, Zoom publie une mise à jour qui résout deux vulnérabilités.
Récapitulatif Microsoft
Microsoft résout 117 nouvelles CVE ce mois-ci, dont trois sont marquées Critique par Microsoft. Les publications du mois concernent deux exploitations Zero Day qui ont également été divulguées publiquement, ce qui augmente les risques d’exploitation à grande échelle. Ces deux vulnérabilités Zero Day sont résolues par la mise à jour de l’OS Windows du mois, ce qui en fait votre principale priorité pour limiter rapidement les risques.
Vulnérabilités Zero Day Microsoft
Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans la console MMC (Microsoft Management Console) (CVE-2024-43572). Microsoft classe cette vulnérabilité au niveau Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité a été publiquement divulguée et l’on a confirmé son exploitation sur le terrain. Cette CVE affecte toutes les versions de Windows, y compris la version Windows 11 24H2 nouvellement publiée. Comme son exploitation a été confirmée, cette vulnérabilité doit faire partie de vos priorités ce mois-ci.
Microsoft résout une vulnérabilité d’usurpation d’identité (Spoofing) dans MSHTML (CVE-2024-43573). Microsoft classe cette vulnérabilité au niveau Modéré et son score CVSS v3.1 est de 6,5. Cette vulnérabilité a été publiquement divulguée et l’on a confirmé son exploitation sur le terrain. Cette CVE affecte toutes les versions de Windows, y compris la version Windows 11 24H2 nouvellement publiée. Comme son exploitation a été confirmée, cette vulnérabilité doit faire partie de vos priorités ce mois-ci.
Conseils pour les mises à jour de sécurité tierces
Zoom publie une mise à jour ce mois-ci pour résoudre deux CVE qui affectent l’appli Zoom Workplace, l’appli Zoom Rooms et le SDK Zoom Meeting. Toutes deux sont des vulnérabilités de divulgation d’informations, classées au niveau Moyen avec un score CVSS de 4,9.