Pour le dernier Patch Tuesday de l'année, Microsoft a déployé des correctifs pour pas moins de 58 vulnérabilités dans plus de dix produits, dont Windows et d'autres logiciels Microsoft.

Neuf failles ont reçu la note de gravité la plus élevée, à savoir "critique", tandis que 46 ont reçu la note "importante" et trois la note "modérée". Il est important de noter qu'aucun des bogues qui ont fait partie du déploiement des correctifs n'a été répertorié comme publiquement connu ou n'était en cours d'exploitation active au moment de la publication.

Selon ce résumé de l'Institut technologique du SANS, 22 trous d'exécution de code à distance ont été comblés dans le cadre de l'ensemble des correctifs de sécurité de ce mois. Cela inclut deux vulnérabilités critiques dans Microsoft SharePoint, CVE-2020-17118 et  CVE-2020-17121, dont l'exploitation est considérée comme plus probable par le géant technologique de Redmond.

Bien que Microsoft n'ait pas divulgué beaucoup de détails sur la première vulnérabilité, ils ont ensuite décrit un vecteur d'attaque possible pour la seconde : « Dans une attaque basée sur le réseau, un attaquant peut avoir accès à un site et peut exécuter du code à distance dans le noyau. L'utilisateur devrait avoir des privilèges ».

Une autre vulnérabilité du RCE qui mérite d'être mentionnée réside dans l'Hyper-V de Microsoft qui est utilisé pour créer des environnements de machines virtuelles. Connue sous le nom de CVE-2020-17095 et ayant une note de 8,5 sur 10 sur l'échelle CVSS, cette faille de sécurité pourrait être utilisée par un acteur de la menace pour compromettre les machines virtuelles Hyper-V. « Un attaquant pourrait exécuter une application spécialement conçue sur un invité Hyper-V qui pourrait faire exécuter au système d'exploitation hôte Hyper-V un code arbitraire lorsqu'il ne parvient pas à valider correctement les données des paquets vSMB », déclare Microsoft.

Des mises à jour de sécurité ont été publiées pour un large éventail de produits, dont Windows, plusieurs versions du navigateur Edge, Microsoft Office, Visual Studio, ainsi que d'autres produits et services du portefeuille de Microsoft. Par rapport au nombre habituel de correctifs, l'offre de ce mois-ci se situe dans la moyenne basse. Par exemple, le déploiement du Patch Tuesday du mois dernier a permis de corriger un total impressionnant de 112 vulnérabilités.

Nous conseillons aux utilisateurs et aux administrateurs système d'appliquer les correctifs dès que possible.