Microsoft publie des correctifs pour 55 bogues sur le Patch Tuesday de novembre 2021

Oui, c'est à nouveau cette période du mois, et Microsoft a publié 55 correctifs de sécurité, y compris des correctifs qui s'attaquent aux vulnérabilités zero-day activement exploitées dans la nature.

La dernière série de correctifs du géant de la technologie contient des correctifs pour six vulnérabilités critiques, 15 bogues d'exécution de code à distance (RCE), les fuites d'informations et l'élévation des failles de sécurité des privilèges, ainsi que les problèmes pouvant conduire à l'usurpation et à la falsification.

Microsoft Azure, le navigateur Edge basé sur Chromium, Microsoft Office et ses produits associés, Visual Studio, Exchange Server, Windows Kernel et Windows Defender sont quelques-uns des produits ciblés par le patchs.

Quinze bugs d'exécution de code à distance ont été corrigés

Un autre mois chargé pour les programmeurs et développeurs de Redmond, car ils continuent de lutter contre des problèmes anciens et constamment émergents.

Alors que certaines questions ne nécessitaient que des ajustements mineurs, d'autres étaient d'une importance primordiale et ont été traitées comme telles par la société de technologie.

Certaines des vulnérabilités les plus intéressantes résolues dans cette mise à jour, toutes considérées comme importantes, sont:

• CVE-2021-42321: (CVSS: 3,1 8,8 / 7,7). En cas d'exploitation active, cette vulnérabilité affecte Microsoft Exchange Server et, en raison d'une validation incorrecte des arguments de l'applet de commande, peut entraîner un RCE. Cependant, les attaquants doivent être authentifiés.
• CVE-2021-42292: (CVSS: 3,1 7,8 / 7,0). Également détectée comme exploitée à l'état sauvage, cette vulnérabilité a été trouvée dans Microsoft Excel et peut être utilisée pour contourner les contrôles de sécurité. Microsoft affirme que le volet de prévisualisation n'est pas un vecteur d'attaque. Aucun correctif n'est actuellement disponible pour Microsoft Office 2019 pour Mac ou Microsoft Office LTSC pour Mac 2021.
• CVE-2021-43209: (CVSS: 3,1 7,8 / 6,8). Vulnérabilité 3D Viewer rendue publique, ce bug peut être exploité localement pour déclencher RCE.
• CVE-2021-43208: (CVSS: 3,1 7,8 / 6,8). Autre problème connu, cette faille de sécurité de 3D Viewer peut également être militarisée par un attaquant local à des fins d'exécution de code.
• CVE-2021-38631: (CVSS: 3,0 4,4 / 3,9). Également rendue publique, cette faille de sécurité, trouvée dans le protocole Windows Remote Desktop (RDP), peut être utilisée pour la divulgation d'informations.
• CVE-2021-41371: (CVSS: 3,1 4,4 / 3,9). Enfin, cette vulnérabilité RDP, connue avant que le patch ne soit disponible, peut également être exploitée localement pour forcer une fuite d'informations.

Il s'agit d'un nombre relativement faible de vulnérabilités résolues au cours du mois de novembre, en comparant cette version avec celles des années précédentes.

Le mois dernier, Microsoft a résolu 71 bugs, nous pouvons donc considérer cette période plutôt calme. Il convient de noter en particulier les correctifs pour un total de quatre failles zero-day, dont l'une était activement exploitée dans la nature, tandis que trois ont été rendues publiques.

Si nous remontons un peu plus dans le temps, Microsoft s'est attaqué à plus de 60 vulnérabilités lors du Patch Tuesday de septembre. Parmi les correctifs figurait un correctif pour un RCE dans MSHTML.

Et n'oublions pas qu'à côté de la version logicielle Patch Tuesday de Microsoft, d'autres sociétés ont également publié des mises à jour de sécurité, telles que :

• Adobe mises à jour de sécurité
• SÈVE mises à jour de sécurité
• VMWare avis de sécurité
• Intelligence mises à jour de sécurité

---

Avez-vous été aux prises avec l'une des erreurs et des bogues répertoriés dans cet article? Faites-nous savoir dans la section commentaires ci-dessous.