Encore un patch tuesday poids plume ce mois-ci. Avec 50 failles corrigées pour ce mois de juin, on ne peut pas dire que la livraison mensuelle de correctifs de Microsoft soit en effet particulièrement volumineuse. Pour autant, léger ne veut pas dire qu'il ne faut pas s'en préoccuper. Car ce serait faire l'impasse sur 6 failles actuellement exploitées qui bénéficient à présent d'un patch. Lesquelles ? En l'occurrence la CVE-2021-33742 relative au moteur d'affichage de rendu MSHTML qui permet à un attaquant d'exécuter du code malveillant sur une page web piégée. A noter que ce moteur n'est pas seulement embarqué dans Internet Explorer mais se trouve aussi dans différentes applications.
Les 5 autres vulnérabilités exploitées et à corriger d'urgence - dont le niveau de criticité est important - sont, avec des risques d'élévation de privilèges, les CVE-2021-33739 au score CVSS de 8.4 (librairie DWM Core), CVE-2021-31199 et CVE-2021-31201 (Enhanced Cryptographic Provider), ainsi que la CVE-2021-31956 (Windows NTFS). La CVE-2021-31955 concerne quant à elle un risque de fuite d'information au niveau du noyau Windows.
Parmi les autres failles critiques, mais non exploitées, on trouve les CVE-2021-31985 (exécution de code distant dans Defender), CVE-2021-31963 (exécution de code distant dans Sharepoint server), CVE-2021-31959 (corruption mémoire du moteur de script) et CVE-2021-31967 (exécution de code distant dans VP9 Video Extensions. Pour cette dernière, ainsi que celle affectant Defender, une mise à jour automatique est effectuée, pour peu que les systèmes concernés soient bien connectés à Internet. Le cas échéant, une intervention manuelle est à prévoir pour appliquer les correctifs.
Commentaire