Accueil Cybersécurité Patch Tuesday d’octobre : 74 nouvelles vulnérabilités

Patch Tuesday d’octobre : 74 nouvelles vulnérabilités

Mise à jour OK

Octobre est le mois de la sensibilisation à la cybersécurité. C’est le moment idéal pour évoluer votre stratégie de sécurité et vous assurer que vous vous concentrez sur les meilleures méthodes pour améliorer votre cyber-hygiène globale. L’analyse de Chris Goettl, directeur sénior Gestion produits et sécurité chez Ivanti, qui parle des publications du Patch Tuesday, mais aussi de quelques autres que vous devez connaître.

Microsoft publie des mises à jour qui résolvent 74 nouvelles vulnérabilités (CVE) et deux CVE ayant déjà fait l’objet d’une publication. Cela comprend quatre CVE à divulgation publique et une vulnérabilité Zero Day (CVE-2021-40449). Trois des 76 CVE du mois sont classées « Critique ». Les mises à jour de ce mois d’octobre concernent l’OS Windows, Office 365, Exchange Server, Intune, System Center, .Net Core et Visual Studio, ainsi que différents rôles dans AD, ADFS, Hyper-V et DNS.

Commençons par la vulnérabilité dont nous savons qu’elle a été exploitée. CVE-2021-40449 est une vulnérabilité d’élévation des privilèges Win32k présente dans les OS Windows depuis Windows 7 et Server 2008 jusqu’à Windows 11 et Server 2022. Pour Microsoft, avec son système d’évaluation de la gravité, cette vulnérabilité est seulement marquée Important. C’est un bon exemple, qui montre pourquoi les entreprises doivent prioriser la correction des vulnérabilités en se basant sur le niveau de risque. L’approche de la gestion des vulnérabilités basée sur les risques tient compte d’un plus grand nombre d’indicateurs du monde réel (comme les exploitations connues, les divulgations publiques et les tendances d’utilisation par les pirates) pour mieux comprendre les failles sur lesquelles vous devez vous concentrer en priorité et le plus rapidement.

Microsoft résout CVE-2021-41338, vulnérabilité de contournement des fonctions de sécurité présente dans Windows AppContainer Firewall. Cette vulnérabilité a été publiquement divulguée avec son code POC (Proof of Concept – Validation de principe), ce qui donne aux pirates un temps d’avance pour exploiter cette faille. Cette vulnérabilité affecte Windows 10, Server 2016 et versions supérieures.

Microsoft résout CVE-2021-41335, vulnérabilité d’élévation de privilèges du noyau Windows. Cette faille concerne les versions Windows 7 à Windows 10, et Server 2008 à Server 2019. Cette CVE a été publiquement divulguée avec son code POC (Proof of Concept – Validation de principe), ce qui donne aux pirates un temps d’avance pour exploiter cette faille. Cette vulnérabilité concerne Windows 7 et Server 2008, jusqu’à Windows 10 et Server 2019.

Microsoft résout CVE-2021-40469, vulnérabilité d’exécution de code à distance présente dans Windows DNS. Cette faille concerne uniquement les serveurs configurés en tant que serveurs DNS, et fonctionnant sous Server 2008 à Server 2022. Cette vulnérabilité a été publiquement divulguée avec son code POC (Proof of Concept – Validation de principe), ce qui donne aux pirates un temps d’avance pour exploiter cette faille.

Microsoft résout CVE-2021-33781, vulnérabilité de contournement des fonctions de sécurité dans Azure AD, initialement résolue lors du Patch Tuesday du 13 juillet. Cette mise à jour rajoute des versions à la liste des systèmes concernés, notamment Windows 10 1607, Server 2016 et Windows 11.

Adobe publie six mises à jour, qui concernent Acrobat and Reader, Connect, Reader Mobile, Commerce, Campaign Standard et OPS-CLI. Les mises à jour Adobe Connect (APSB21-91) et OPS-CLI (APSB21-88) incluent des CVE de type Critique avec un score de base CVSS de 9,8 sur 10. La mise à jour Adobe Acrobat and Reader (APSB21-104) résout le plus grand nombre de CVE de la série. Cette mise à jour résout un total de quatre CVE, dont deux sont classées Critique avec des scores CVSS de 7,8.

FoxIt PDF publie des mises à jour pour ses versions Windows et MacOS, qui résolvent un grand nombre de vulnérabilités. Sept CVE ont été identifiées, et la mise à jour résout aussi un certain nombre d’ID référencées par le projet Trend Zero Day et figurant dans la base de données nationale des vulnérabilités de Chine. Pour en savoir plus, consultez la page des mises à jour de l’éditeur Foxit PDF.

Google Chrome a connu quatre mises à jour depuis le Patch Tuesday de septembre, pour résoudre un total de 25 CVE.

Oracle publie sa mise à jour CPU trimestrielle le 19 octobre. Gardez l’œil ouvert pour ne pas manquer les mises à jour Java, Oracle DB, Middleware et autres produits Oracle.