13 décembre 2023RédactionPatch mardi / Sécurité Windows
Microsoft a publié sa dernière série de mises à jour du Patch Tuesday pour 2023, clôturant 33 défauts dans son logiciel, ce qui en fait l’une des versions les plus légères de ces dernières années.
Sur les 36 lacunes, quatre sont classées critiques et 29 sont classées importantes en termes de gravité. Les correctifs s’ajoutent à 18 défauts Microsoft a résolu ce problème dans son navigateur Edge basé sur Chromium depuis la sortie des mises à jour du Patch Tuesday de novembre 2023.
Selon les données du Initiative Jour Zérole géant du logiciel a corrigé plus de 900 failles cette année, ce qui en fait l’une des années les plus chargées en matière de correctifs Microsoft.
Bien qu’aucune des vulnérabilités ne soit répertoriée comme publiquement connue ou faisant l’objet d’une attaque active au moment de la publication, certaines des plus notables sont répertoriées ci-dessous :
CVE-2023-35628 (score CVSS : 8,1) – Vulnérabilité d’exécution de code à distance sur la plateforme Windows MSHTML
CVE-2023-35630 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance liée au partage de connexion Internet (ICS)
CVE-2023-35636 (score CVSS : 6,5) – Vulnérabilité de divulgation d’informations dans Microsoft Outlook
CVE-2023-35639 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance du pilote ODBC Microsoft
CVE-2023-35641 (score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance liée au partage de connexion Internet (ICS)
CVE-2023-35642 (score CVSS : 6,5) – Vulnérabilité de déni de service liée au partage de connexion Internet (ICS)
CVE-2023-36019 (score CVSS : 9,6) – Vulnérabilité d’usurpation d’identité du connecteur Microsoft Power Platform
CVE-2023-36019 est également important car il permet à l’attaquant d’envoyer une URL spécialement conçue à la cible, ce qui entraîne l’exécution de scripts malveillants dans le navigateur de la victime sur sa machine.
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
“Un attaquant pourrait manipuler un lien, une application ou un fichier malveillant pour le déguiser en lien ou fichier légitime afin de tromper la victime”, a déclaré Microsoft dans un avis.
La mise à jour Patch Tuesday de Microsoft corrige également trois failles dans le service serveur DHCP (Dynamic Host Configuration Protocol) qui pourraient conduire à un déni de service ou à une divulgation d’informations :
CVE-2023-35638 (score CVSS : 7,5) – Vulnérabilité de déni de service du service du serveur DHCP
CVE-2023-35643 (score CVSS : 7,5) – Vulnérabilité de divulgation d’informations sur le service du serveur DHCP
CVE-2023-36012 (score CVSS : 5,3) – Vulnérabilité de divulgation d’informations sur le service du serveur DHCP
La divulgation intervient également alors qu’Akamai a découvert un nouvel ensemble d’attaques contre les domaines Active Directory qui utilisent le protocole de configuration d’hôte dynamique de Microsoft (DHCP) les serveurs.
“Ces attaques pourraient permettre aux attaquants d’usurper des enregistrements DNS sensibles, entraînant diverses conséquences allant du vol d’informations d’identification à la compromission complète du domaine Active Directory”, Ori David dit dans un rapport la semaine dernière. “Les attaques ne nécessitent aucune information d’identification et fonctionnent avec la configuration par défaut de Serveur DHCP Microsoft“.
La société d’infrastructure et de sécurité Web a en outre noté que l’impact des failles peut être important, car elles peuvent être exploitées pour usurper les enregistrements DNS sur les serveurs DNS de Microsoft, y compris l’écrasement d’enregistrements DNS arbitraires non authentifiés, permettant ainsi à un acteur d’accéder à une machine dans le domaine. -position intermédiaire sur les hôtes du domaine et accéder aux données sensibles.
Microsoft, en réponse aux résultats, a déclaré que “les problèmes sont soit intentionnels, soit pas assez graves pour recevoir un correctif”, obligeant les utilisateurs à désactiver les mises à jour dynamiques DHCP DNS si cela n’est pas nécessaire et à s’abstenir d’utiliser DNSUpdateProxy.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment :
33 failles corrigées, dont 4 critiques
Home » Sciences et technologies » 33 failles corrigées, dont 4 critiques
13 décembre 2023RédactionPatch mardi / Sécurité Windows
Microsoft a publié sa dernière série de mises à jour du Patch Tuesday pour 2023, clôturant 33 défauts dans son logiciel, ce qui en fait l’une des versions les plus légères de ces dernières années.
Sur les 36 lacunes, quatre sont classées critiques et 29 sont classées importantes en termes de gravité. Les correctifs s’ajoutent à 18 défauts Microsoft a résolu ce problème dans son navigateur Edge basé sur Chromium depuis la sortie des mises à jour du Patch Tuesday de novembre 2023.
Selon les données du Initiative Jour Zérole géant du logiciel a corrigé plus de 900 failles cette année, ce qui en fait l’une des années les plus chargées en matière de correctifs Microsoft.
Bien qu’aucune des vulnérabilités ne soit répertoriée comme publiquement connue ou faisant l’objet d’une attaque active au moment de la publication, certaines des plus notables sont répertoriées ci-dessous :
CVE-2023-36019 est également important car il permet à l’attaquant d’envoyer une URL spécialement conçue à la cible, ce qui entraîne l’exécution de scripts malveillants dans le navigateur de la victime sur sa machine.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Adhérer maintenant
“Un attaquant pourrait manipuler un lien, une application ou un fichier malveillant pour le déguiser en lien ou fichier légitime afin de tromper la victime”, a déclaré Microsoft dans un avis.
La mise à jour Patch Tuesday de Microsoft corrige également trois failles dans le service serveur DHCP (Dynamic Host Configuration Protocol) qui pourraient conduire à un déni de service ou à une divulgation d’informations :
La divulgation intervient également alors qu’Akamai a découvert un nouvel ensemble d’attaques contre les domaines Active Directory qui utilisent le protocole de configuration d’hôte dynamique de Microsoft (DHCP) les serveurs.
“Ces attaques pourraient permettre aux attaquants d’usurper des enregistrements DNS sensibles, entraînant diverses conséquences allant du vol d’informations d’identification à la compromission complète du domaine Active Directory”, Ori David dit dans un rapport la semaine dernière. “Les attaques ne nécessitent aucune information d’identification et fonctionnent avec la configuration par défaut de Serveur DHCP Microsoft“.
La société d’infrastructure et de sécurité Web a en outre noté que l’impact des failles peut être important, car elles peuvent être exploitées pour usurper les enregistrements DNS sur les serveurs DNS de Microsoft, y compris l’écrasement d’enregistrements DNS arbitraires non authentifiés, permettant ainsi à un acteur d’accéder à une machine dans le domaine. -position intermédiaire sur les hôtes du domaine et accéder aux données sensibles.
Microsoft, en réponse aux résultats, a déclaré que “les problèmes sont soit intentionnels, soit pas assez graves pour recevoir un correctif”, obligeant les utilisateurs à désactiver les mises à jour dynamiques DHCP DNS si cela n’est pas nécessaire et à s’abstenir d’utiliser DNSUpdateProxy.
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger plusieurs vulnérabilités, notamment :
2023-12-13 08:50:00
1702448816
#failles #corrigées #dont #critiques
Share this:
Related
Zendaya : ‘C’est rafraîchissant de jouer un personnage féminin qui n’a pas besoin d’être gentil et qui ne s’excuse pas’ | Culture
À l’heure où Hollywood compte sur des héros en carton pour survivre, Zendaya est une star et
Share this:
Le Japon veut que vous dépensiez plus avec le « tourisme de luxe »
2024-04-27 08:08:25 Le Japon se prépare à attirer des touristes fortunés vers des destinations moins connues, offrant
Share this:
L’Art nouveau à son meilleur : la ville de Nancy fut le centre d’un mouvement architectural
L’Art Nouveau est considéré comme le premier style moderne à s’épanouir à l’aube du 20e siècle. En
Share this:
Fang Cheng Super 9, elle est la reine du show de Pékin
2024-04-26 21:33:56 ServiceSalon automobile de Pékin Fabriqué par la marque chinoise Fang Cheng propriété de BYD, il
Share this:
RECENT POSTS
7 conseils efficaces pour communiquer avec les gens et établir des contacts utiles
Ces stars qui ne seront pas à la Coupe du Monde
ADVERTISEMENT
Tags