Les entreprises doivent faire attention et appliquer les derniers correctifs de sécurité de Microsoft pour plusieurs applications bureautiques et collaboratives clés. La firme de Redmond a ainsi diffusé des patchs comblant les trous de sécurité identifiés en tant que CVE-2023-4863 et CVE-2023-5217, respectivement pour ses solutions Edge, Teams et Skype pour postes de travail, ainsi que pour Webp Image Extensions.
A noter que la CVE-2023-5217 est loin d'être inconnue puisque Google a aussi eu affaire à elle dans Chrome. Pour rappel, celle-ci est actuellement exploitée et consiste en un débordement de mémoire tampon dans l'encodage VP8 de la bibliothèque de codecs vidéo libvpx pouvant entraîner un plantage ou déboucher sur de l'exécution de code arbitraire en cas d'exploit réussi. S'agissant de la CVE-2023-4863 celle-ci consiste cette fois en un débordement de mémoire tampon dans libwebp donnant la possibilité à un attaquant distant d'effectuer une écriture en mémoire hors limites via une page HTML conçue à cet effet.
Des mises à jour appliquées dans le Store de Microsoft sous condition
Les deux vulnérabilités ont été identifiées en tant qu'exploit zero day lorsqu'elles ont été divulguées au début du mois, mais peu de détails ont été fournis. Ces soucis de sécurité ont été signalés par l'équipe en ingénierie et architecture de sécurité d'Apple (SEAR), celle de Google spécialisée dans l'analyse des menaces (TAG) ainsi que Citizen Lab.
Suite à cette découverte, Microsoft va appliquer les mises à jour dans toutes ses applications concernées automatiquement dans sa boutique d'apps en ligne à condition cependant que la fonction d'installation automatique des MAJ soit bien activée.
Commentaire