Microsoft a publié le Legacy Patch Tuesday cette semaine. Les mises à jour de sécurité de ce mois-ci ont résolu 141 vulnérabilités , dont deux jours zéro, dont l'une était activement exploitée.
Août 2022 Le correctif de mardi comprend 20 correctifs pour les vulnérabilités du navigateur Edge déjà corrigées par Microsoft. Cela nous laisse avec 121 vulnérabilités de sécurité affectant Windows, Office, Azure, .NET Core, Visual Studio et Exchange Server.
Publicité
Busy Summer Patch Tuesday
Le nombre de correctifs publiés ce mois-ci, selon Zero-Day Initiative , est " Significativement plus élevé que prévu en août. " Il s'agit du deuxième patch le plus important de l'année le [Patch Tuesday], qui a presque triplé depuis août dernier, ", déclare. Organisation
Patch Tuesday d'août D'ici 2022, 17 vulnérabilités critiques et 102 vulnérabilités critiques seront résolues. Ce correctif corrige 64 failles d'élévation de privilèges et 32 failles d'exécution de code à distance , ainsi que des failles de contournement des fonctionnalités de sécurité et de divulgation d'informations. De plus, 34 des correctifs de ce mois-ci concernent des bogues dans Azure Site Recovery, l'ensemble d'outils de reprise après sinistre de Microsoft pour le cloud.
Une faille de sécurité activement exploitée est l'exécution de code à distance affectant l'outil de diagnostic de support Microsoft Windows (MSDT) répertorié commeCVE-2022-34713est un défaut. Une vulnérabilité que certains chercheurs en sécurité ont surnommée "dogwalk".
Dogwalk
Les chercheurs Imre Rad (@ImreRad) et @j00sean ont signalé le bogue Dogwalk à Microsoft au début de 2020, mais la société a annoncé en mai de cette année que ce n'était pas signalé comme non traité jusqu'àlorsque les attaquants ont commencé à abuser de MSDT via des documents Word malveillants, moment auquel Microsoft a publié l'identifiant d'atténuation CVE -2022-30190 publié, suivi d'un correctif à la mi-juin,nouvelles mesures de défense en profondeur en juillet
" Enfin #DogWalk Vulnerability @j00sean @ImreRad Merci à tous ceux qui nous ont crié de réparer ,"a tweeté Jonathan Norman, chercheur en sécurité chez Microsoft. }
Microsoft affirme que la faille CVE-2022-34713 a été découverte après un examen approfondi des discussions publiques à l'intérieur et à l'extérieur de Microsoft. "En mai, Microsoft a publié un article de blog informant de la vulnérabilité MSDT et a publié peu de temps après une mise à jour pour y remédier. Ce CVE est une variante de la vulnérabilité communément appelée Dogwalk ," Réclamations de Microsoft. Le score de base CVSSv3 pour cette faille est de 7,8.
Google a également corrigé un problème modéré lié au bug Dogwalk de Chrome (CVE-2022-2622) le mois dernier. Chrome a inspiré la navigation sécurisée de Google.
Nouvelles vulnérabilités dans les serveurs Exchange
Une vulnérabilité de divulgation d'informations dans les serveurs Exchange a été révélée plus tôt mardi, mais n'a pas encore été exploitée. Les serveurs Exchange sur site vulnérables étaient l'un des systèmes les plus ciblés en 2021en raison desfailles ProxyShell et ProxyLogon.
Rapid 7 a découvert quecorrigeait une faille du serveur Exchange (CVE-2022-30134) qui ne permettait pas aux attaquants de cibler les appareils électroniques. Il souligne que vous ne pouvez pas empêcher les gens de lire les messages que vous avez envoyés. L'administrateur doit également activer la protection étendue de Windows sur le serveur Exchange. L'équipe Exchange de Microsoft a expliqué dans un autre article de blog comment procéder manuellementPour résoudre complètement ce problème, nous devons corriger cinq autres bogues dans Exchange.
La société recommande également d'appliquer le correctif CVE-2022-34715. Il s'agit d'une faille d'exécution de code à distance affectant la version 4.1 du système de fichiers réseau Windows (NFS) sur Windows Server 2022. Score CVSSv3 de 9,8. Une faille notable CVE-2022-35797est un contournement du mécanisme d'authentification biométrique Windows Hello de Microsoft. Un attaquant aurait besoin d'un accès physique pour exploiter cette vulnérabilité, mais pourrait contourner Windows Hello en cas de succès.
Windows 7 est vraiment terminé
La société de sécurité Ivanti a annoncé le que les mises à jour de sécurité étendues (ESU) n'ont que 6 mois. Reste pour Windows 7 et Windows Server 2008/2008R2. En juillet, Microsoft a annoncé la fin de la prise en charge d'ESU pour Windows 7 pour trois années supplémentaires après la fin de la prise en charge en 2020.
De même, pour le moment, Microsoft ne proposera plus de mises à jour pour le canal semi-annuel (SAC) de Windows Server ce mois-ci. Windows Server 20H2 a atteint la fin du support le 9 août et est la dernière version sur SAC.
Source : ZDNet.com
