Microsoft, Google, Mozilla et Adobe publient tous des mises à jour pour le Patch Tuesday du 9 juillet 2024. Microsoft résout 142 CVE dans 5 produits, Mozilla résout 16 CVE dans Firefox et Adobe résout 7 CVE en 3 mises à jour. La mise à jour Google Chrome devrait également sortir le jour du Patch Tuesday ou juste après.
L’expertise de Chris Goettl d’Ivanti pour les lecteurs de Solutions numériques & cybersécurité.
Microsoft signale deux vulnérabilités dont l’exploitation est connue et deux vulnérabilités divulguées publiquement. Les vulnérabilités ayant été exploitées concernent toutes deux l’OS Windows, de même que l’une des deux divulgations. L’autre divulgation affecte .Net et Visual Studio.
Mises à jour Microsoft
Microsoft résout une vulnérabilité d’usurpation d’identité dans la plateforme Windows MSHTML (CVE-2024-38112), susceptible de permettre à un pirate d’envoyer à un utilisateur un fichier malveillant qui s’exécutera sur tout le réseau. Cette vulnérabilité concerne toutes les versions de l’OS Windows. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 7,5.
L’éditeur résout une vulnérabilité EP (Élévation de privilèges) dans Windows Hyper-V (CVE-2024-38080), qui pourrait permettre à un pirate d’obtenir des privilèges SYSTEM sur le système infecté. Cette vulnérabilité affecte Windows 11 et Server 2022, et elle a été exploitée sur le terrain. Elle a un niveau de gravité Important et son score CVSS 3.1 est de 7,8.
Autre résolution : une vulnérabilité ID (Divulgation d’informations) sur les systèmes Windows 11 basés sur ARM64 (CVE-2024-37985). Elle peut permettre à un pirate de consulter la mémoire de pile depuis un processus doté de privilèges. Cette vulnérabilité a été divulguée publiquement, mais aucun échantillon de code n’a été distribué lors de cette divulgation. Microsoft lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 5,9.
Microsoft résout une vulnérabilité RCE (Exécution de code à distance) dans .Net et Visual Studio (CVE-2024-35264). Cette vulnérabilité affecte Visual Studio 2022 et .Net 8.0. Cette vulnérabilité a été divulguée publiquement, mais aucun échantillon de code n’a été distribué lors de cette divulgation. Pour exploiter cette vulnérabilité, un pirate devrait gagner une condition de course, ce qui rend l’exploitation plus difficile. L’éditeur lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 8,1.
Mises à jour tierces
Adobe publie des mises à jour pour Premiere Pro, InDesign et Bridge, qui résolvent un total de 7 CVE. Ces trois mises à jour incluent toutes des CVE de type Critique, mais Adobe leur attribue la priorité 3.
Des mises à jour Mozilla Firefox et Firefox ESR ont été publiées. La mise à jour Firefox 128 résout 16 CVE et la mise à jour ESR résout 5 CVE. Mozilla attribue à la mise à jour Firefox le niveau gravité Élevé et à Firefox ESR, le niveau Modéré.
La mise à jour CPU Oracle du trimestre est prévue pour le 16 juillet 2024. Attendez-vous à des mises à jour pour toute une série de produits Oracle. De plus, cette mise à jour va déclencher un effet domino pour toutes les structures Java, notamment RedHat OpenJDK, Amazon Corretto, Azul Zulu, Eclipse Adoptium, Adopt OpenJDK, entre autres.
Priorités pour ce Patch Tuesday
Les mises à jour de l’OS Windows sont prioritaires ce mois-ci. Elles résolvent les deux vulnérabilités Zero Day (CVE-2024-38112 et CVE-2024-38080), ainsi que l’une des deux vulnérabilités divulguées publiquement (CVE-2024-37985).
Les mises à jour de navigateur sont publiées fréquemment et résolvent de nombreuses vulnérabilités qui ciblent l’utilisateur. Les mises à jour Edge, Firefox et Chrome doivent toujours faire partie des priorités, pour toutes les entreprises. Google publie des mises à jour de sécurité toutes les semaines, ce qui signifie également des mises à jour Edge hebdomadaires. Firefox reçoit en moyenne 2-3 mises à jour par mois.
La mise à jour Microsoft SQL Server concerne 39 CVE uniques ce mois-ci. Bien que cette mise à jour ne soit pas classée Critique, et qu’aucune exploitation ni divulgation n’affecte SQL Server, cela représente un grand nombre de CVE. Il serait judicieux d’inclure leur résolution dans votre maintenance mensuelle.
Et soyez prêt à recevoir des mises à jour pour Java et d’autres solutions Oracle après la mise à jour CPU du 16 juillet.
