Ponctuellement, ce 2ème mardi du mois, Microsoft a livré sa mise à jour de sécurité régulière, anciennement nommée Patch Tuesday. Celle d’octobre vient corriger 71 vulnérabilités dont 3 sont critiques. La sévérité des 68 autres est jugée importante, quatre d’entre elles concernant des failles connues publiquement, dont une déjà exploitée. Sur l’ensemble de la mise à jour, les correctifs s’appliquent à Windows et ses composants, au navigateur web Edge basé sur Chromium, à Exchange Server, ainsi qu’à .Net Core, Visual Studio, les services Office, les Web Apps, SharePoint Server, les applications Dynamics, InTune et System Center Operations Manager. Pour faire un compte juste du total de failles corrigées en octobre, il faudrait ajouter les correctifs livrés plus tôt dans le mois, pour Edge et pour OpenSSL, ce qui porte le total à 82 failles corrigées, rappellent les chercheurs de Zero Day Initiative qui ont pour leur part soumis 11 de ces CVE via leur programme ZDI.
En haut de la liste figure un correctif pour une faille zero day trouvée dans le pilote Win32k de Windows. Cette vulnérabilité est déjà activement exploitée. Elle est référencée CVE-2021-40449, avec un degré de sévérité de 7,8. Cette faille a été signalée à Microsoft par Boris Larin (oct0xor). Il s’agit d’un bug pouvant être exploité pour escalader des privilèges sur un système déjà compromis. Trois autres correctifs portent sur des vulnérabilités déjà connues publiquement et notées importantes : CVE-2021-41335 (notée 7,8), faille d’élévation de privilèges sur le kernel Windows, CVE-2021-40469 (notée 7,2), vulnérabilité d’exécution de code à distance dans le serveur DNS Windows et CVE-2021-41338 (notée 5.5), vulnérabilité de contournement de la fonctionnalité de sécurité de pare-feu Windows AppContainer.
Deux failles critiques dans Hyper-V, une dans Word
Sur les trois failles critiques, les CVE-2021-38672 et CVE-2021-40461 sont des vulnérabilités d’exécution de code à distance dans le logiciel de virtualisation Hyper-V, avec un score de sévérité de 8. La troisième, CVE-2021-40486 (notée 7,8), concerne le traitement de texte Word. Il s’agit d’une faille d’exécution de code à distance dans le logiciel.
A noter encore, parmi les scores élevés, deux failles notées 8 (CVE-2021-41348, élévation de privilèges) et 9 (CVE-2021-26427, exécution de code à distance) dans Exchange Server. Le logiciel de collaboration SharePoint Server est concerné par deux failles notées 8,1. Par ailleurs, de nombreuses failles ont un score de 7,8, notamment 5 dans le tableur Excel avec, là encore, des risques d’exécution de code à distance : CVE-2021-40471, CVE-2021-40473, CVE-2021-40474, CVE-2021-40479 et CVE-2021-40485. Avec le même score de 7,8, on en trouve également dans DirectX Graphics, dans Office Visio et 5 dans Storage Spaces Controller.
Quant aux correctifs d’Adobe livrés en même temps, ils sont au nombre de 6 ce mois-ci, couvrant 10 failles CVE dans les logiciels Reader, Reader pour Android, Campaign Standard, Commerce, Ops-CLI et Connect.