Microsoft a publié son Patch Tuesday et corrige plusieurs vulnérabilités dites "critiques"

12 janvier 2022 à 11h55
12
Windows 10 Clubic © Clubic.com
© Clubic.com

Avec son dernier Patch Tuesday, Microsoft livre à ses utilisateurs de nombreux correctifs et des améliorations avec deux grosses mises à jour, l'une destinée à Windows 10 , l'autre à Windows 11 .

Comme le veut la tradition, Microsoft a publié son Patch Tuesday, le 11 janvier, d'ailleurs le premier de l'année, en corrigeant pas moins de 97 CVE, dont une poignée peut être considérée comme « critique ». La mise à jour cumulative KB5009543 est ainsi notamment disponible pour les versions 20H2, 21H1 et 21H2 de Windows 10, tandis que la KB5009566 est téléchargeable pour les utilisateurs de Windows 11. Notons qu'il est conseillé, pour les utilisateurs de Microsoft en version 2004, de bifurquer vers une version plus récente, celle-ci ne recevant désormais plus de mises à jour de sécurité.

Des améliorations et corrections pour Active Directory et l'IME

Parmi les améliorations et correctifs soulevés par Microsoft, le problème qui empêchait les attributs Active Directory d'être écrits correctement lors d'une opération de modification LDAP (Lightweight Directory Access Protocol) a bien été résolu. Rappelons que Active Directory est le fameux annuaire de Microsoft qui stocke les informations - mots de passe, noms, numéros de téléphone - sur les objets sur le réseau, mettant ces données à la disposition des utilisateurs et administrateurs du réseau.

Même chose pour celui qui affectait les éditeurs de méthode d'entrée japonais (IME). En fait, lorsque vous utilisez un IME pour saisir du texte, celui-ci pouvait apparaître dans le désordre. Le curseur pouvait se déplacer de façon surprenante dans les applications utilisant le jeu de caractères MBCS (multi-octets). Ce même problème a aussi été résolu sur Windows 11. L'IME est un composant logiciel qui permet d'entrer du texte dans une langue qui ne peut pas être représentée facilement sur un clavier de type AZERTY.

Plusieurs vulnérabilités du côté de Microsoft Exchange Server corrigées

Parmi les correctifs appliqués à 97 vulnérabilités, certains retiennent davantage l'attention que d'autres. C'est le cas de la vulnérabilité d'exécution de code à distance dans la pile de protocoles HTTP, référencée CVE-2022-21907 et découverte par le chercheur russe Mikhail Medvedev. Microsoft indique au sujet de cette faille touchant à Windows Server 2019 qu'en l'exploitant, un attaquant non authentifié « pourrait envoyer un paquet spécialement conçu à un serveur ciblé en utilisant la pile du protocole HTTP (http.sys) pour traiter les paquets ». Si la fonctionnalité qui contient la vulnérabilité n'est pas active par défaut, il convient de corriger en priorité les serveurs concernés.

« Microsoft prévient que cette vulnérabilité est "vermifuge", ce qui signifie qu'aucune interaction humaine ne serait nécessaire pour qu'une attaque se propage de système en système. En tant que telles, les organisations qui utilisent la pile de protocole HTTP devraient accorder la priorité à la correction de cette vulnérabilité dès que possible », indique et précise Satnam Narang, ingénieur de recherche chez Tenable.

Celui-ci ajoute que Microsoft a corrigé trois vulnérabilités d'exécution de code à distance dans Microsoft Exchange Server, référencées CVE-2022-21846, CVE-2022-21969 et CVE-2022-21855. La première a d'ailleurs été découverte par la NSA (la National Security Agency). Fort heureusement, le vecteur d'attaque étant adjacent, la faille est moins critique que les vulnérabilités ProxyLogon et ProxyShell, car ici, elle ne peut pas être exploitée à distance et nécessite un élément spécifique lié à la cible, comme par exemple le même réseau physique (Bluetooth, Wi-Fi).

💡 Au fait, c'est sympa tout ça, mais on les installe comment ces mises à jour ? Voici notre solution, on ne peut plus simple :

  • Sur votre clavier, via le raccourci touche Windows + touche i. De là, accédez au panneau « Mise à jour et sécurité », et laissez-vous guider dans Windows Update.
WIndows Update © clubic.com
© Clubic.com
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
7
DrGeekill
J’utilise Edge pour le Game Pass (car j’ai une bien meilleure expérience de jeu qu’avec l’appli) et depuis ce mardi matin quand je passe en plein écran la barre de défilement à droite ne disparaît pas (même une fois désactivée). C’est assez désagréable.
clockover
Ils sont devenus fou avec Exchange.<br /> Ca enchaine les failles critiques 0d de semaine en semaine…<br /> Comme par hasard 365 n’est pas concerné alors qu’il est en base Exchange.<br /> Soit ils mentent, soit ils ne maintiennent plus aussi bien la version onpremise pour pousser à la bascule.
ultrabill
clockover:<br /> Comme par hasard 365 n’est pas concerné alors qu’il est en base Exchange.<br /> T’attends quoi comme message de leur, un truc du genre «&nbsp;O365 utilise Exchange donc on était impacté avant la mise à jour, signé Captain Obvious&nbsp;» ? Vachement interessant.
mart666
Comme le veut la tradition, quels sont les nouveaux bugs induis par cette mise à jour ?
twenty94470
les connexions VPN L2TP ne fonctionnent plus …
clockover
ultrabill:<br /> vious » ? Va<br /> Dans le monde pro, la transparence est de mise …
ultrabill
T’as la liste exhaustive et détaillée des instances qui gèrent tes tenants ?
clockover
Pour de la messagerie facturée ? <br /> Ba … oui ^^
ultrabill
Bah tu peux vérifier qu’ils ont appliqué les patch alors.
clockover
Tip: Ce n’est pas mon travail mais bien le leur.
ultrabill
Exactement.
Koin-Koin
vermifuge pour wormable ?<br /> Personnellement j’aurais plutôt tenté un néologisme du genre vermiphile (parce que vermiléable ç’est vraiment moche), au moins le sens serait correct.
Voir tous les messages sur le forum

Lectures liées

Antitrust : Intel gagne contre les régulateurs européens sur une affaire vieille de 12 ans
NVIDIA, Intel et AMD opérationnels sur Vulkan 1.3 pour Windows et Linux dès sa sortie
Pour le patron de Logitech, la pénurie, c'est pas près d'être fini !
Autant de cartes graphiques en stock, ce n'était plus arrivé depuis bien longtemps !
AMD Ryzen 9 6900HX, une évolution insuffisante pour rattraper Intel ?
Cdiscount fait chuter le prix de l'excellente souris Logitech MX Anywhere 2S
Avec sa RTX 3060, ce PC portable gamer Acer chute à moins de 900€
NVIDIA préparerait secrètement ses troupes à abandonner le rachat d'ARM
Steam Deck : qu'est-ce que le Dynamic Cloud Sync, et pourquoi ça révolutionne la sauvegarde ?
Les casques gamer Logitech et HyperX chute de prix pour les Soldes
Haut de page