Mettez à jour tous les navigateurs dès que possible. Avec les deux Zero Day de Chrome et Edge, et les 16 CVE Firefox, vous allez rapidement atténuer un grand nombre de risques si vous le faites.
L’expertise de Chris Goettl, Vice President Of Product Management d’Ivanti pour les lecteurs de Solutions Numériques & Cybersécurité.
Avant le Patch Tuesday de mai, on a signalé deux vulnérabilités Zero Day dans Google Chrome et Microsoft Edge, ainsi qu’une Zero Day dans macOS. Microsoft inclut également une paire de vulnérabilités Zero Day dans sa mise à jour, pour un total de 61 CVE résolues. Mozilla et Adobe s’ajoutent à la liste des mises à jour tierces publiées.
Les mises à jour Microsoft Patch Tuesday
Microsoft résout une vulnérabilité EP (élévation de privilèges) de la bibliothèque DWM (gestionnaire de fenêtres de bureau) Windows (CVE-2024-30051), dont l’exploitation a été confirmée. En exploitant cette vulnérabilité, un pirate pourrait obtenir des privilèges SYSTEM sur le système concerné. Cette vulnérabilité concerne l’OS Windows et Microsoft l’a classée « Important ». Son score CVSS 3.1 est de 7,8. Sachant que des exploitations connues ont été détectées, l’approche de priorisation basée sur les risques place cette mise à jour d’OS parmi les principales priorités du mois.
Microsoft résout une vulnérabilité SFB (contournement de fonction de sécurité) dans Windows MSHTML (CVE-2024-30040), dont l’exploitation a été confirmée. Un pirate pourrait contourner l’atténuation OLE dans Microsoft 365 et Microsoft Office, et cibler un utilisateur via un e-mail ou un message instantané pour exploiter cette vulnérabilité. Cette vulnérabilité concerne l’OS Windows et Microsoft la classe « Important ». Son score CVSS 3.1 est de 8,8. Sachant que des exploitations connues ont été détectées, l’approche de priorisation basée sur les risques place cette mise à jour d’OS parmi les principales priorités du mois.
Les mises à jour tierces du Patch Tuesday
Google résout une paire de vulnérabilités Zero Day qui affectent à la fois Google Chrome et Microsoft Edge. Le jeudi 9 mai, Google a résolu CVE-2024-4671 et il a publié une mise à jour Microsoft Edge le 10 mai. Le lundi 13 mai, Google a résolu CVE-2024-4761 (oui, presque le même numéro, mais en inversant le 6 et le 7 pour ces deux CVE. On ne risque pas du tout de se tromper !), et la mise à jour Microsoft Edge d’aujourd’hui résout la deuxième Zero Day. Cela fait un total de 6 Zero Day sur l’année à ce jour pour Google Chrome et Microsoft Edge (Chromium). La publication d’hier amène aussi à 6 le total des publications Google Chrome depuis le Patch Tuesday d’avril.
Mozilla Firefox et Firefox ESR ont été mis à jour pour le Patch Tuesday de mai, ce qui signifie qu’il faut ce mois-ci mettre à jour tous vos principaux navigateurs, pour résoudre 16 CVE. Firefox a fait trois publications depuis le Patch Tuesday d’avril.
Adobe a publié des mises à jour pour Acrobat Reader en vue de résoudre 12 CVE, dont 9 sont marquées Critique. Des mises à jour pour Illustrator, Substance 3D, Aero, Animate, FrameMaker et Dreamweaver ont également été publiées.
Les conseils de priorisation pour le Patch Tuesday
Mettez à jour tous les navigateurs dès que possible. Avec les deux Zero Day de Chrome et Edge, et les 16 CVE Firefox, vous allez rapidement atténuer un grand nombre de risques si vous le faites.
- La mise à jour Patch Tuesday de mai pour l’OS Windows inclut deux vulnérabilités Zero Day. Elle doit faire partie de vos priorités ce mois-ci.
- macOS résout une vulnérabilité Zero Day dans sa publication du 13 mai, alors veillez à exécuter les mises à jour macOS en priorité ce mois-ci.
