Belle moisson de correctifs de sécurité pour cette rentrée de septembre du Patch Tuesday. Après avoir comblé 120 vulnérabilités en août, Microsoft en a patché 9 de plus ce mardi, affectant de nombreux systèmes et solutions dont Windows, Edge et IE, ChakraCore, SQL Server, Office, Dynamics, Visual Studio, Exchange Server, ASP.NET, OneDrive et Azure DevOps. Sur les 129 correctifs distribués, 23 sont classées comme critiques, 105 importantes et 1 dont le niveau de criticité est qualifié de modéré. Bonne nouvelle : aucune des failles corrigées ne fait actuellement l'objet d'un exploit, ce qui ne doit cependant pas faire oublier aux entreprises d'appliquer ces patchs dès que possible.
Parmi les vulnérabilités comblées, on trouve la CVE-2020-16875 qui concerne une corruption mémoire dans Exchange. « Il s'agit sans aucun doute du bug le plus grave résolu ce mois-ci. Ce correctif corrige une vulnérabilité qui permet à un attaquant d'exécuter du code sur SYSTEM en envoyant un e-mail spécialement conçu à un serveur Exchange affecté. C'est à peu près le pire des cas pour les serveurs Exchange », ont prévenu les chercheurs de la Zero Day Initiative (ZDI).
La bibliothèque de codecs Windows touchée
Attention également à la CVE-2020-0951 affectant la fonction de contrôle de sécurité dans Windows Defender et permettant à un attaquant d'obtenir un gain d'accès à privilège de niveau administrateur pour ouvrir une session PowerShell et envoyer des commandes pour exécuter du code indésirable. De son côté, la CVE-2020-1129 touche la librairie de codecs Windows. « Étant donné que cette vulnérabilité réside dans la bibliothèque de codecs, plusieurs applications pourraient être affectées. La faille spécifique existe dans l'analyse des flux HEVC. Un flux HEVC spécialement conçu dans un fichier vidéo peut déclencher un débordement d'un tampon basé sur une pile de longueur fixe », prévient ZDI.