Microsoft résout 129 CVE (Common Vulnerabilities and Exposures – Vulnérabilités et faiblesses communes) avec la mise à jour Patch Tuesday de ce mois. Même si l’on ne compte aucune vulnérabilité exploitée ou divulguée publiquement ce mois-ci, il y a 23 CVE critiques. La plupart de ces CVE critiques affectent l’OS et les navigateurs Windows. On compte également ce mois-ci sept CVE critiques pour SharePoint. Comme chaque mois, les explications de Todd Schell, Senior Product Manager, Security chez Ivanti.
Même si aucune CVE n’a été divulguée publiquement ou exploitée ce mois-ci, vous devez quand même prêter attention à certains points. La mise à jour Microsoft SharePoint de ce mois inclut plusieurs vulnérabilités critiques, notamment CVE-2020-1210, dont le score CVSS est de 9,9. Microsoft Exchange comporte une CVE avec un score CVSS de 9,1 (CVE-2020-16875), qui peut permettre l’exécution de code à distance si un pirate envoie au serveur Exchange concerné un e-mail spécialement conçu à cet effet. De plus, CVE-2020-0761 est une autre vulnérabilité d’exécution de code à distance, qui affecte Active Directory lorsqu’il est intégré à DNS (ADIDNS). Cette vulnérabilité porte le score CVSS 8,8.
Google Chrome publie une mise à jour de sécurité qui résout cinq vulnérabilités de sécurité. Elles sont toutes classées Gravité élevée, c’est-à-dire le second niveau de gravité le plus élevé pour les vulnérabilités Google.
Adobe Flash publie aujourd’hui une mise à jour « Non-sécurité » ; la mise à jour du mois n’est donc pas urgente. Au fur et à mesure que l’on approche de la date de fin du support pour Adobe Flash Player, il faut réfléchir à la façon dont vous allez supprimer Adobe Flash dans tout votre environnement.
Flash Player va être prochainement totalement supprimé de tous les navigateurs Microsoft
Une question souvent posée est : « Quand et comment sera-t-il possible de supprimer entièrement Flash de mon environnement ? » Microsoft a publié en septembre dernier un avis de fin de support, signalant que Microsoft Edge Chromium allait désactiver Flash par défaut. Pour Edge et Internet Explorer, la désactivation par défaut n’aura pas lieu avant la suppression en décembre 2020. D’ici le 31 décembre 2020, Flash Player sera totalement supprimé de tous les navigateurs Microsoft par le biais des mises à jour Windows Update. On peut s’attendre à ce que des outils de suppression, quels qu’ils soient, deviennent disponibles dans les quelques mois à venir. Il y aura aussi sans doute une version des navigateurs Microsoft qui supprimera Flash.
Les priorités de mise à jour ce mois
- OS et navigateurs Windows (Microsoft et Google)
- Exchange Server
- SharePoint Server
