Microsoft diffuse ses correctifs de sécurité mensuels afin de combler plus d'une soixantaine de vulnérabilités affectant Windows, Microsoft Edge, Internet Explorer, Office ou encore SharePoint. Parmi celles-ci, 17 sont critiques.

Pour les vulnérabilités critiques, aucune n'a fait l'objet d'une exploitation dans la nature. Elles concernent principalement les navigateurs de Microsoft, mais aussi (et encore) le client DHCP de Windows et le serveur TFTP des Services de déploiement Windows.

Jugées non critiques par Microsoft, deux 0day touchent Windows. La première était déjà connue. Il s'agit de la vulnérabilité de type élévation de privilèges affectant le pilote en mode noyau win32k.sys évoquée par un chercheur en sécurité de Google.

patch

Le patch s'adresse à Windows 7 et Windows Server 2008. Clement Lecigne, du Threat Analysis Group de Google, avait souligné une exploitation de la vulnérabilité dans des attaques en association avec une 0day dans Google Chrome afin de pouvoir contourner la sandbox du navigateur et exécuter du code malveillant sur un système pris pour cible. Le correctif pour Google Chrome a déjà été diffusé.

La deuxième 0day est aussi de type élévation de privilèges et pour le composant Win32k. Par contre, elle affecte cette fois-ci les versions plus récentes de Windows, dont Windows 10.

" Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire en mode noyau. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges ", écrit Microsoft en soulignant pour l'attaquant, l'ouverture préalable d'une session sur le système.

Pas plus détails, ni même de la part des chercheurs en sécurité de Kaspersky Lab qui ont signalé des attaques exploitant cette vulnérabilité. Un récapitulatif des vulnérabilités corrigées par Microsoft est proposé par Zero Day Initiative et sur l'Internet Storm Center du SANS Technology Institute.

À noter qu'au-delà des correctifs de sécurité, la mise à jour cumulative pour Windows 10 apporte un correctif pour un problème de dégradation des performances au niveau des graphiques et pour le recours à la souris avec des jeux sur PC (fps en chute, lags…). Cela concernait certains jeux à la suite de l'installation de la mise à jour KB4482887.