Microsoft a publié aujourd’hui des mises à jour pour combler plus de 80 failles de sécurité dans son les fenêtres systèmes d’exploitation et autres logiciels, dont un qui est activement exploité et un autre qui a été divulgué avant aujourd’hui. Dix des failles ont valu à Microsoft la cote «critique» la plus désastreuse, ce qui signifie qu’elles pourraient être exploitées par des logiciels malveillants ou des mécréants pour prendre le contrôle à distance de systèmes non corrigés avec peu ou pas d’interaction de la part des utilisateurs de Windows.
Le plus inquiétant du lot de ce mois-ci est probablement un bogue critique (CVE-2021-1647) dans la suite anti-malware par défaut de Microsoft – Windows Defender – qui voit une exploitation active. Microsoft a récemment cessé de fournir beaucoup de détails dans ses avis de vulnérabilité, il n’est donc pas tout à fait clair comment cela est exploité.
Mais Kevin Breen, directeur de recherche à Laboratoires immersifs, dit en fonction du vecteur la faille pourrait être facile à exploiter.
«Cela pourrait être aussi simple que d’envoyer un fichier», dit-il. « L’utilisateur n’a pas besoin d’interagir avec quoi que ce soit, car Defender y accédera dès qu’il sera placé sur le système. »
Heureusement, ce bogue est probablement déjà corrigé par Microsoft sur les systèmes des utilisateurs finaux, car la société met continuellement à jour Defender en dehors du cycle de correctifs mensuel normal.
Breen a attiré l’attention sur une autre vulnérabilité critique ce mois-ci – CVE-2020-1660 – qui est une faille d’exécution de code à distance dans presque toutes les versions de Windows qui ont obtenu un score CVSS de 8,8 (10 étant la plus dangereuse).
«Ils classent cette vulnérabilité comme« faible »en complexité, ce qui signifie qu’une attaque pourrait être facile à reproduire», a déclaré Breen. «Cependant, ils notent également qu’il est« moins susceptible »d’être exploité, ce qui semble contre-intuitif. Sans le contexte complet de cette vulnérabilité, nous devons compter sur Microsoft pour prendre la décision à notre place. »
CVE-2020-1660 n’est en fait qu’un des cinq bogues d’un service de base de Microsoft appelé Appel de procédure à distance (RPC), qui est responsable de nombreuses tâches lourdes sous Windows. Certains des vers informatiques les plus mémorables de la dernière décennie se sont propagés automatiquement en exploitant les vulnérabilités RPC.
Allan Liska, architecte sécurité senior chez Futur enregistré, a déclaré que s’il est préoccupant que tant de vulnérabilités autour du même composant aient été publiées simultanément, deux vulnérabilités précédentes dans RPC – CVE-2019-1409 et CVE-2018-8514 – n’ont pas été largement exploitées.
Les quelque 70 failles restantes corrigées ce mois-ci ont valu à Microsoft les notes «importantes» moins graves, ce qui ne veut pas dire qu’elles constituent beaucoup moins un problème de sécurité. Exemple concret: CVE-2021-1709, qui est une faille «d’élévation de privilège» dans Windows 8 à 10 et Windows Server 2008 à 2019.
«Malheureusement, ce type de vulnérabilité est souvent rapidement exploité par les attaquants», a déclaré Liska. «Par exemple, CVE-2019-1458 a été annoncé le 10 décembre 2019, et le 19 décembre, un attaquant a été vu en train de vendre un exploit pour la vulnérabilité sur des marchés souterrains. Ainsi, alors que CVE-2021-1709 est uniquement classé comme [an information exposure flaw] par Microsoft, il devrait être priorisé pour les correctifs. »
Initiative ZDI de Trend Micro a souligné une autre faille marquée «importante» – CVE-2021-1648, un bogue d’élévation de privilèges dans Windows 8, 10 et certains Windows Server 2012 et 2019 qui a été publiquement divulgué par ZDI avant aujourd’hui.
« Il a également été découvert par Google probablement parce que ce correctif corrige un bogue introduit par un correctif précédent », a déclaré ZDI. Dustin Childs m’a dit. «L’ancienne CVE était exploitée dans la nature, il est donc raisonnable de penser que cette CVE sera également exploitée activement.»
Par ailleurs, Adobe a publié des mises à jour de sécurité pour lutter contre au moins huit vulnérabilités dans une gamme de produits, y compris Adobe Photoshop et Illustrateur. Il n’y a pas Lecteur Flash mises à jour parce qu’Adobe a retiré le plugin de navigateur en décembre (alléluia!), et le cycle de mise à jour de Microsoft du mois dernier a supprimé le programme des navigateurs de Microsoft.
Les utilisateurs de Windows 10 doivent savoir que le système d’exploitation téléchargera les mises à jour et les installera toutes en même temps selon son propre calendrier, fermant les programmes actifs et redémarrant le système. Si vous souhaitez vous assurer que Windows a été configuré pour suspendre la mise à jour afin que vous ayez amplement l’occasion de sauvegarder vos fichiers et / ou votre système, consultez ce guide.
Veuillez sauvegarder votre système avant d’appliquer l’une de ces mises à jour. Windows 10 dispose même d’outils intégrés pour vous aider à le faire, soit par fichier / dossier, soit en créant une copie complète et amorçable de votre disque dur en même temps. Vous ne savez jamais quand un roll-up de patch va perturber votre système ou éventuellement endommager des fichiers importants. Pour ceux qui recherchent des options de sauvegarde plus flexibles et plus complètes (y compris les sauvegardes incrémentielles), Acronis et Macrium sont deux que j’ai utilisés précédemment et qui valent le détour.
Cela dit, il ne semble pas y avoir de problèmes majeurs avec le lot de mises à jour de ce mois-ci. Mais avant d’appliquer les mises à jour, envisagez de visiter AskWoody.com, qui a généralement le maigre sur tous les rapports sur les correctifs problématiques.
Comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, pensez à laisser un commentaire à ce sujet ci-dessous; il y a une chance meilleure que même que d’autres lecteurs aient vécu la même chose et peuvent apporter ici quelques conseils utiles.
Étiquettes: Allan Liska, AskWoody.com, CVE-2018-8514, CVE-2019-1409, CVE-2019-1458, CVE-2020-1660, CVE-2021-1647, CVE-2021-1648, CVE-2021-1709 , Dustin Childs, Immersive Labs, Kevin Breen, Recorded Future, Initiative ZDI de Trend Micro, Windows Defender
- Éditions de La Martinière La vulve, la verge et le vibro - Les mots du sexe selon MaïaPrécommandez dès maintenant votre exemplaire du livre La vulve, la verge etamp; le vibro - Les mots du sexe selon Maïa ! Sortie le 28 janvier 2021. "En bonne sexperte gastronome, mon rêve serait que l'on parle de sexe comme on parle de cuisine." Encore faut-il s'approprier les mots, se mettre d'accord sur
- Marabout Jouissance Club - Une Cartographie du Plaisir Edition de LuxePrécommandez dès maintenant l'Edition de Luxe de Jouissance Club ! Disponible le 21 janvier 2021. Après le succès de l’édition originale vendue à plus de 130 000 exemplaires, Jüne Plã revient avec une édition de luxe au nouveau design exclusif idéal à offrir ou à s'offrir ! Découvrez une édition cartonnée
- Marabout Jouissance Club - Une Cartographie du Plaisir Edition de LuxePrécommandez dès maintenant l'Edition de Luxe de Jouissance Club ! Disponible le 21 janvier 2021. Après le succès de l’édition originale vendue à plus de 130 000 exemplaires, Jüne Plã revient avec une édition de luxe au nouveau design exclusif idéal à offrir ou à s'offrir ! Découvrez une édition cartonnée