Microsoft vient de publier son deuxième Patch Tuesday de l’année pour Windows 11, avec de nombreux correctifs au menu.
Ce patch spécial Saint-Valentin du 14 février comprend des correctifs pour trois vulnérabilités « zero-day» différentes qui sont déjà utilisées dans des attaques actives.
La CVE-2023-23376 est présentée comme une vulnérabilité « importante » d’élévation des privilèges dans le pilote Windows Common Log File System, présent dans Windows 10 et 11, ainsi que dans de nombreuses versions serveur de Windows.
La CVE-2023-21715 dans Microsoft Office est une “vulnérabilité de contournement des fonctionnalités de sécurité“.
Enfin la faille zero-day déjà exploitée CVE-2023-21823 est une autre faiblesse d’élévation des privilèges, dans le composant Microsoft Windows Graphic.
Microsoft a corrigé une autre vulnérabilité Office : CVE-2023-21716, qui est un bug Word pouvant entraîner l’exécution de code à distance, même si un document Word piégé est simplement affiché dans le volet de prévisualisation de Microsoft Outlook. Cette faille de sécurité a un score CVSS de 9,8 sur 10 possibles.
Enfin, notez la correction de trois failles Exchange Server (CVE-2023-21706, CVE-2023-21707 et CVE-2023-21529), qui, selon Microsoft, sont toutes des failles d’exécution de code à distance susceptibles d’être exploitées.