On ne compte aucune vulnérabilité à divulgation publique ou ayant été exploitée ce mois-ci dans le paysage Microsoft. Et il n’y aura que 3 mises à jour critiques à déployer. Todd Schell, Senior Product Manager Security chez Ivanti fait le point comme chaque mois pour les lecteurs de SOlutions Numériques.
Tous ceux d’entre vous qui ont demandé une mise en pause du Patch Tuesday pour Noël ne recevront pas le cadeau de leurs rêves, mais presque. Le Patch Tuesday de décembre est le moins volumineux de 2020. Il résout seulement 58 CVE uniques, dont neuf sont marquées “Critique”. Il y a également une CVE conseillée (ADV200013), qui vous guide pour résoudre une vulnérabilité d’usurpation d’identité (spoofing) dans l’outil Résolution DNS. On ne compte aucune vulnérabilité à divulgation publique ou ayant été exploitée ce mois-ci dans le paysage Microsoft.
Adobe publie quelques mises à jour de faible gravité pour Adobe Reader pour Android et Adobe Connect. La publication Adobe Reader (APSB20-67) du 3 décembre résolvait 14 vulnérabilités, dont quatre de type Critique. C’est la publication Adobe la plus urgente de ce mois. Adobe Flash publie une mise à jour pour le Patch Tuesday de décembre, mais elle ne résout aucune vulnérabilité.
Parmi les neuf vulnérabilités critiques, trois concernent Microsoft Exchange Server, deux portent sur SharePoint et deux affectent Microsoft Dynamics 365. Les deux dernières concernent Hyper-V et Chakra Core. La vulnérabilité SharePoint (CVE-2020-17121) peut permettre à un pirate d’obtenir un accès pour créer un site et exécuter du code à distance dans le noyau (kernel).
Microsoft publie également des consignes pour gérer les vulnérabilités de l’outil Résolution DNS dans son avis de sécurité 200013 (ADV200013). Cette vulnérabilité de type usurpation d’identité, qui affecte l’outil Résolution DNS, peut permettre à un pirate d’exploiter un empoisonnement du cache DNS provoqué par une fragmentation IP. Le pirate peut usurper l’identité du paquet DNS, qui peut être mis en cache par la retransmission DNS ou la résolution DNS. Le document de conseil présente une solution de contournement pour configurer les serveurs DNS.
Dans un article de blog, Microsoft a annoncé officiellement que les mises à jour de pile de maintenance (SSU) et la dernière mise à jour cumulative (LCU) peuvent désormais être déployées ensemble pour Windows 10 2004 et les branches 20H2. Cela fournit une expérience de déploiement bien plus facile pour 2004 et les branches plus récentes, car vous pouvez fusionner les mises à jour LCU et SSU, ce qui simplifie une expérience précédemment assez lourde et maladroite.
Globalement, vous n’avez que 3 mises à jour critiques à déployer ce mois-ci. Exchange Server, SharePoint Server, Windows 10 et Server 2016, et les mises à jour cumulatives plus récentes. Considérez que c’est un cadeau de Noël en avance de la part de Microsoft et attendez paisiblement 2021.