Ce mois-ci, nous avons un Patch Tuesday bien plus tranquille, comparé à la série de Zero Day du mois dernier.
L’expertise de Chris Goettl d’Ivanti pour les lecteurs de Solutions Numériques.
Si l’on consulte le catalogue KEV de la CISA entre fin mai et ce Patch Tuesday, on constate la présence d’une autre Zero Day Chrome (CVE-2024-5274) le 28 mai, une vulnérabilité des solutions antivirus Justice le 29 mai (CVE-2024-4978), une vulnérabilité UAF (Use After Free – utilisation après libération) du noyau Linux le 30 mai (CVE-2024-1086) et une vulnérabilité ID (Divulgation d’informations) dans les passerelles Check Point Quantum Security Gateways également le 30 mai (CVE-2024-24919). Plus récemment, intéressante réminiscence du passé, on a constaté une vulnérabilité CI (Injection de commandes) dans l’OS Oracle WebLogic Server (CVE-2017-3506), qui a été ajoutée le 3 juin. La bonne nouvelle c’est que, en dehors d’une vulnérabilité divulguée publiquement affectant la validation DNSSEC (CVE-2023-50868), il n’y a pas de nouvelle vulnérabilité Zero Day dans le Patch Tuesday de juin.
Mises à jour Microsoft Patch Tuesday
Microsoft résout 51 CVE dans sa mise à jour Patch Tuesday de juin. Des mises à jour pour Microsoft Windows, Office 365, Visual Studio, Edge et Azure ont été publiées. Il existe ce mois-ci une seule CVE critique concernant Microsoft : CVE-2024-30080. Elle peut permettre à un pirate d’exécuter du code à distance sur le réseau sans avoir besoin de références d’authentification et sans trop de complexité. Cette CVE fait de l’OS Windows la mise à jour la plus urgente à déployer pour les produits Microsoft ce mois-ci.
Mises à jour tierces
Mozilla et Adobe ont publié des mises à jour. Mozilla résout 16 CVE avec les mises à jour Firefox et Firefox ESR. Adobe résout 167 CVE avec 10 mises à jour ce mois-ci, et 144 d’entre elles concernent Adobe Experience Manager. Toutes ces mises à jour Adobe ont été classées Priorité 3, donc pas d’urgence, mais y remédier va sans aucun doute faire grimper vos statistiques du mois en matière de nombre total de CVE résolues. Google Chrome a été récemment mis à jour (le 7 juin), et cette mise à jour est incluse dans la mise à jour du mois pour le navigateur Edge, mais attendez-vous à une autre mise à jour Chrome cette semaine.
Priorités de mise à jour pour le Patch Tuesday de juin
- La mise à jour de l’OS Windows est la plus urgente. Entre la CVE critique (CVE-2024-30080) et la CVE divulguée publiquement (CVE-2023-50868), vous éliminerez les risques les plus pressants avec cette mise à jour d’OS.
- Comme toujours, il est utile de tenir vos navigateurs à jour, souvent et strictement. Nous vous recommandons de respecter une fréquence de mise à jour hebdomadaire pour les navigateurs, car vous pouvez vous attendre à 2-3 mises à jour Firefox et à environ 4 mises à jour Chrome/Edge par mois, qui résolvent des vulnérabilités de sécurité.
