Le dernier Patch Tuesday de l’année a été très chargé pour Microsoft. Pas moins de 71 vulnérabilités ont été comblées, dont une dans Windows qui est activement exploitée.
Le premier mardi du mois est traditionnellement le Patch Tuesday chez Microsoft. Les développeurs du géant du logiciel doivent encore passer à la vitesse supérieure dans la dernière édition de 2024. D’un seul coup, Microsoft s’attaque à 21 mouches CVE, réparties entre Windows, Office et Azure.
Seize vulnérabilités sont qualifiées de « critiques », tandis que toutes, sauf quelques-unes, sont qualifiées de « à haut risque ». La liste complète est disponible ici .
Windows attaqué
Sur les 71 vulnérabilités, la grande majorité, 59 pour être exact, se sont répandues dans Windows 11, Windows 10 et les versions prises en charge de Windows Server. La vulnérabilité CVE-2024-49138 fait l’objet d’une attention particulière. Elle n’a peut-être pas été désignée comme critique, mais c’est la seule vulnérabilité qui, selon Microsoft, est activement exploitée.
Cette vulnérabilité résulte d’un débordement de mémoire tampon dans le pilote du système de fichiers du protocole partagé et pourrait permettre à un pirate d’obtenir l’autorisation du système. Combinée à l’une des nombreuses vulnérabilités d’exécution de code à distance(RCE), l’attaquant pourrait causer des dommages importants. Il est recommandé de déployer la mise à jour de sécurité de Windows dès qu’elle est disponible pour votre appareil.
Huit vulnérabilités ont été comblées pour les applications Office, dont trois vulnérabilités RCE potentiellement critiques dans Excel, Access et Outlook. La vulnérabilité d’Outlook exploiterait une prévisualisation des pièces jointes. Microsoft souligne que les attaquants ne peuvent pas accéder aux données des utilisateurs par le biais de cette vulnérabilité, mais qu’ils peuvent s’assurer que vous ne pouvez pas y accéder vous-même.
Pas d’année record
Après ce dernier Patch Tuesday, le nombre total de vulnérabilités corrigées dans les applications Microsoft s’élève à 1 020. C’est presque un record pour Microsoft. En 2020, Microsoft a dû intervenir 1 250 fois. L’année 2024 restera dans les livres d’histoire comme une année qui a apporté beaucoup de misères en matière de mises à jour pour Microsoft, avec la mise à jour Windows 11 24H2 comme une chronique embarrassante.