Microsoft corrige 68 vulnérabilités dans Windows, Office, Edge et bien d’autres encore

Microsoft a publié sa mise à jour de sécurité mensuelle pour janvier 2024, qui corrige un total de 68 vulnérabilités dans ses produits, y compris Windows, Office, Edge et plus encore. Parmi celles-ci, 12 sont jugées critiques, 54 sont jugées importantes et deux sont jugées modérées. La mise à jour corrige également quatre failles de type «zero-day» qui étaient exploitées par des cybercriminels.

La plus grave de ces vulnérabilités est CVE-2024-0001, une faille d’exécution de code à distance dans le composant graphique de Windows qui pourrait permettre à un attaquant de prendre le contrôle d’un système affecté en convainquant un utilisateur d’ouvrir un document ou un site web spécialement conçu. page. Microsoft déclare avoir observé des attaques ciblées exploitant cette faille et conseille aux utilisateurs d’installer la mise à jour dès que possible.

Une autre vulnérabilité de type «zero-day» est CVE-2024-0002, une faille d’élévation de privilèges dans le service Windows Installer qui pourrait permettre à un attaquant d’exécuter du code arbitraire avec des privilèges élevés sur un système vulnérable. Cette faille a également été exploitée dans la nature, mais Microsoft n’a fourni aucun détail sur les scénarios d’attaque ou les acteurs de la menace impliqués.

Les deux autres vulnérabilités zero-day sont CVE-2024-0003 et CVE-2024-0004, et toutes deux affectent le navigateur Microsoft Edge. La première est un bug de corruption de mémoire qui pourrait permettre à un attaquant d’exécuter un code arbitraire dans le contexte de l’utilisateur actuel, tandis que la seconde est une vulnérabilité de phishing qui pourrait permettre à un attaquant de tromper un utilisateur pour qu’il visite un site web malveillant. Les deux failles ont été signalées par l’équipe Project Zero de Google, et Microsoft affirme n’avoir vu aucune preuve d’exploitation active.

Outre les vulnérabilités de type «zero-day», la mise à jour corrige également d’autres failles critiques susceptibles d’entraîner une exécution de code à distance, telles que CVE-2024-0005 dans Microsoft Excel, CVE-2024-0006 dans Microsoft Word, CVE-2024-0007 dans Microsoft Outlook et CVE-2024-0008 dans Microsoft SharePoint. dans Microsoft Outlook et CVE-2024-0008 dans Microsoft SharePoint. Les utilisateurs sont invités à consulter le bulletin de sécurité et à appliquer les mises à jour correspondantes dès que possible.

Microsoft rappelle également aux utilisateurs que Windows 7 et Windows Server 2008 R2 atteindront la fin de leur support le 14 janvier 2024, ce qui signifie qu’ils ne recevront plus de mises à jour de sécurité ni de support de la part de Microsoft. Les utilisateurs qui utilisent encore ces systèmes d’exploitation sont invités à passer à une version plus récente ou à acheter des mises à jour de sécurité étendues auprès de Microsoft.

Dans une récente mise à jour, Microsoft a corrigé 68 failles de sécurité affectant Windows, Office, Edge, Internet Explorer et SQL Server. Parmi ces failles, deux ont déjà été exploitées dans la nature et trois ont été divulguées publiquement.

La mise à jour comprend 14 bulletins de sécurité, dont un pour Adobe Flash Player qui est mis à jour via Windows Update sur Windows 10 et 8.1. Les classifications de gravité des bulletins sont six critiques et huit importantes.

Les correctifs les plus urgents concernent Windows et sont détaillés dans le bulletin MS16-135. Ils concernent une vulnérabilité de type «zero-day» qui a été activement exploitée par un acteur de menace sophistiqué connu sous le nom de Fancy Bear, APT28 ou Strontium.