- Un mois assez chargé pour une version Microsoft Patch Tuesday, avec 71 CVE.
- Sur tous les CVE, 68 ont été marqués comme importants et aucun comme modéré.
- Cependant, le géant de la technologie de Redmond a dû faire face à trois méchants bogues critiques.
- Nous avons inclus tout le monde dans cet article, avec des liens directs également.
C'est à nouveau cette période du mois, et tout le monde se tourne vers Microsoft, dans l'espoir que certaines des failles avec lesquelles ils se débattent seront enfin corrigées.
Nous avons déjà fourni le liens de téléchargement direct pour les mises à jour cumulatives publiées aujourd'hui pour Windows 10 et 11, mais il est maintenant temps de parler à nouveau des vulnérabilités et des expositions critiques.
En termes de poids, la version de ce mois-ci coïncide avec les versions de Merch des années précédentes, qui sont généralement d'environ 60 à 70 CVE.
Plongeons-y directement et voyons quelles vulnérabilités ont complètement disparu de nos vies, maintenant que ces correctifs sont en ligne.
Trois bugs critiques traités ce mois-ci
Pour le troisième mois de 2022, Microsoft a publié 71 nouveaux correctifs. Cela s'ajoute aux 21 CVE corrigés par Microsoft Edge (basé sur Chromium) plus tôt ce mois-ci, ce qui porte le total de mars à 92 CVE.
Ainsi, les 71 nouveaux correctifs disponibles aujourd'hui traitent des CVE dans :
- .NET et Visual Studio
- Récupération de site Azure
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l'IdO
- Microsoft Edge (basé sur Chromium)
- Serveur Microsoft Exchange
- Microsoft Intune
- Microsoft Office Visio
- Microsoft Office Word
- Microsoft Windows ALPC
- Bibliothèque de codecs Microsoft Windows
- Peinture 3D
- Rôle: Windows Hyper-V
- Extension Skype pour Chrome
- Interface utilisateur Windows de la tablette
- Code Visual Studio
- Pilote de fonction auxiliaire Windows pour WinSock
- Pilote de CD-ROM Windows
- Pilote de mini-filtre Windows Cloud Files
- COM Windows
- Pilote du système de fichiers journaux commun Windows
- Bibliothèque principale de Windows DWM
- Suivi des événements Windows
- Pilote Windows Fastfat
- Service de télécopie et de numérisation Windows
- Plate-forme Windows HTML
- Installateur Windows
- Noyau Windows
- Windows Média
- Windows PDEV
- Protocole de tunneling point à point Windows
- Composants du spouleur d'impression Windows
- Bureau à distance Windows
- Interface du fournisseur de support de sécurité Windows
- Serveur PME Windows
- Pile de mise à jour Windows
- Xbox
Il est également important de mentionner que, sur les 71 CVE publiés aujourd'hui, trois sont classés critiques et 68 sont classés importants en termes de gravité.
Le nombre de correctifs critiques est à nouveau étrangement faible pour ce nombre de bogues, selon les experts et certains des utilisateurs les plus avertis en matière de technologie.
De plus, on ne sait toujours pas si ce faible pourcentage de bogues n'est qu'une coïncidence ou si Microsoft pourrait évaluer la gravité en utilisant un calcul différent de celui du passé.
| CVE | Titre | Gravité | CVSS | Publique | Exploité | Taper |
| CVE-2022-24512 | Vulnérabilité d'exécution de code à distance dans .NET et Visual Studio | Important | 6.3 | Oui | Non | CRE |
| CVE-2022-21990 | Vulnérabilité d'exécution de code à distance du client Bureau à distance | Important | 8.8 | Oui | Non | CRE |
| CVE-2022-24459 | Vulnérabilité d'élévation de privilèges du service de télécopie et de numérisation Windows | Important | 7.8 | Oui | Non | EoP |
| CVE-2022-22006 | Vulnérabilité d'exécution de code à distance des extensions vidéo HEVC | Critique | 7.8 | Non | Non | CRE |
| CVE-2022-23277 | Vulnérabilité d'exécution de code à distance de Microsoft Exchange Server | Critique | 8.8 | Non | Non | CRE |
| CVE-2022-24501 | Vulnérabilité d'exécution de code à distance des extensions vidéo VP9 | Critique | 7.8 | Non | Non | CRE |
| CVE-2022-24508 | Vulnérabilité d'exécution de code à distance client/serveur Windows SMBv3 | Important | 8.8 | Non | Non | CRE |
| CVE-2022-21967 | Xbox Live Auth Manager pour Windows Vulnérabilité d'élévation de privilèges | Important | 7 | Non | Non | EoP |
| CVE-2022-24464 | Vulnérabilité de déni de service .NET et Visual Studio | Important | 7.5 | Non | Non | DoS |
| CVE-2022-24469 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 8.1 | Non | Non | EoP |
| CVE-2022-24506 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-24515 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-24518 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-24519 | Vulnérabilité d'élévation de privilège Azure Site Recovery | Important | 6.5 | Non | Non | EoP |
| CVE-2022-24467 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-24468 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-24470 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-24471 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-24517 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2022-24520 | Vulnérabilité d'exécution de code à distance Azure Site Recovery | Important | 7.2 | Non | Non | CRE |
| CVE-2020-8927 * | Vulnérabilité de débordement de la mémoire tampon de la bibliothèque Brotli | Important | 6.5 | Non | Non | N / A |
| CVE-2022-24457 | Vulnérabilité d'exécution de code à distance des extensions d'image HEIF | Important | 7.8 | Non | Non | CRE |
| CVE-2022-22007 | Vulnérabilité d'exécution de code à distance des extensions vidéo HEVC | Important | 7.8 | Non | Non | CRE |
| CVE-2022-23301 | Vulnérabilité d'exécution de code à distance des extensions vidéo HEVC | Important | 7.8 | Non | Non | CRE |
| CVE-2022-24452 | Vulnérabilité d'exécution de code à distance des extensions vidéo HEVC | Important | 7.8 | Non | Non | CRE |
| CVE-2022-24453 | Vulnérabilité d'exécution de code à distance des extensions vidéo HEVC | Important | 7.8 | Non | Non | CRE |
| CVE-2022-24456 | Vulnérabilité d'exécution de code à distance des extensions vidéo HEVC | Important | 7.8 | Non | Non | CRE |
| CVE-2022-21977 | Vulnérabilité de divulgation d'informations de la Media Foundation | Important | 3.3 | Non | Non | Info |
| CVE-2022-22010 | Vulnérabilité de divulgation d'informations de la Media Foundation | Important | 4.4 | Non | Non | Info |
| CVE-2022-23278 | Microsoft Defender pour la vulnérabilité d'usurpation de point de terminaison | Important | 5.9 | Non | Non | Usurpation |
| CVE-2022-23266 | Microsoft Defender pour la vulnérabilité d'élévation des privilèges IoT | Important | 7.8 | Non | Non | EoP |
| CVE-2022-23265 | Microsoft Defender pour la vulnérabilité d'exécution de code à distance IoT | Important | 7.2 | Non | Non | CRE |
| CVE-2022-24463 | Vulnérabilité d'usurpation de Microsoft Exchange Server | Important | 6.5 | Non | Non | Usurpation |
| CVE-2022-24465 | Vulnérabilité de contournement de la fonctionnalité de sécurité du portail Microsoft Intune pour iOS | Important | 3.3 | Non | Non | SFB |
| CVE-2022-24461 | Vulnérabilité d'exécution de code à distance dans Microsoft Office Visio | Important | 7.8 | Non | Non | CRE |
| CVE-2022-24509 | Vulnérabilité d'exécution de code à distance dans Microsoft Office Visio | Important | 7.8 | Non | Non | CRE |
| CVE-2022-24510 | Vulnérabilité d'exécution de code à distance dans Microsoft Office Visio | Important | 7.8 | Non | Non | CRE |
| CVE-2022-24511 | Vulnérabilité de falsification de Microsoft Office Word | Important | 5.5 | Non | Non | Falsification |
| CVE-2022-24462 | Vulnérabilité de contournement de la fonctionnalité de sécurité de Microsoft Word | Important | 5.5 | Non | Non | SFB |
| CVE-2022-23282 | Vulnérabilité d'exécution de code à distance dans Paint 3D | Important | 7.8 | Non | Non | CRE |
| CVE-2022-23253 | Vulnérabilité de déni de service du protocole de tunneling point à point | Important | 6.5 | Non | Non | DoS |
| CVE-2022-23295 | Vulnérabilité d'exécution de code à distance de l'extension d'image brute | Important | 7.8 | Non | Non | CRE |
| CVE-2022-23300 | Vulnérabilité d'exécution de code à distance de l'extension d'image brute | Important | 7.8 | Non | Non | CRE |
| CVE-2022-23285 | Vulnérabilité d'exécution de code à distance du client Bureau à distance | Important | 8.8 | Non | Non | CRE |
| CVE-2022-24503 | Vulnérabilité de divulgation d'informations sur le client Remote Desktop Protocol | Important | 5.4 | Non | Non | Info |
| CVE-2022-24522 | Vulnérabilité de divulgation d'informations sur l'extension Skype pour Chrome | Important | 7.5 | Non | Non | Info |
| CVE-2022-24460 | Vulnérabilité d'élévation des privilèges de l'application de l'interface utilisateur Windows de la tablette | Important | 7 | Non | Non | EoP |
| CVE-2022-24526 | Vulnérabilité d'usurpation de code dans Visual Studio | Important | 6.1 | Non | Non | Usurpation |
| CVE-2022-24451 | Vulnérabilité d'exécution de code à distance des extensions vidéo VP9 | Important | 7.8 | Non | Non | CRE |
| CVE-2022-23283 | Vulnérabilité d'élévation de privilèges dans Windows ALPC | Important | 7 | Non | Non | EoP |
| CVE-2022-23287 | Vulnérabilité d'élévation de privilèges dans Windows ALPC | Important | 7 | Non | Non | EoP |
| CVE-2022-24505 | Vulnérabilité d'élévation de privilèges dans Windows ALPC | Important | 7 | Non | Non | EoP |
| CVE-2022-24507 | Pilote de fonction auxiliaire Windows pour la vulnérabilité d'élévation de privilège WinSock | Important | 7.8 | Non | Non | EoP |
| CVE-2022-24455 | Vulnérabilité d'élévation des privilèges du pilote de CD-ROM Windows | Important | 7.8 | Non | Non | EoP |
| CVE-2022-23286 | Vulnérabilité d'élévation de privilèges du pilote Windows Cloud Files Mini Filter | Important | 7 | Non | Non | EoP |
| CVE-2022-23281 | Vulnérabilité de divulgation d'informations sur le pilote du système de fichiers journaux Windows Common | Important | 5.5 | Non | Non | Info |
| CVE-2022-23288 | Vulnérabilité d'élévation de privilèges dans la bibliothèque principale de Windows DWM | Important | 7 | Non | Non | EoP |
| CVE-2022-23291 | Vulnérabilité d'élévation de privilèges dans la bibliothèque principale de Windows DWM | Important | 7.8 | Non | Non | EoP |
| CVE-2022-23294 | Vulnérabilité d'exécution de code à distance du suivi d'événements Windows | Important | 8.8 | Non | Non | CRE |
| CVE-2022-23293 | Vulnérabilité d'élévation des privilèges du pilote du système de fichiers Windows Fast FAT | Important | 7.8 | Non | Non | EoP |
| CVE-2022-24502 | Vulnérabilité de contournement de la fonctionnalité de sécurité des plates-formes Windows HTML | Important | 4.3 | Non | Non | SFB |
| CVE-2022-21975 | Vulnérabilité de déni de service Windows Hyper-V | Important | 4.7 | Non | Non | DoS |
| CVE-2022-23290 | Vulnérabilité d'élévation de privilège COM Windows Inking | Important | 7.8 | Non | Non | EoP |
| CVE-2022-23296 | Vulnérabilité d'élévation de privilèges dans le programme d'installation de Windows | Important | 7.8 | Non | Non | EoP |
| CVE-2022-21973 | Vulnérabilité de déni de service dans la mise à jour de Windows Media Center | Important | 5.5 | Non | Non | DoS |
| CVE-2022-23297 | Vulnérabilité de divulgation d'informations sur le pilote du récepteur de datagrammes de Windows NT Lan Manager | Important | 5.5 | Non | Non | Info |
| CVE-2022-23298 | Vulnérabilité d'élévation des privilèges du noyau du système d'exploitation Windows NT | Important | 7 | Non | Non | EoP |
| CVE-2022-23299 | Vulnérabilité d'élévation de privilèges dans Windows PDEV | Important | 7.8 | Non | Non | EoP |
| CVE-2022-23284 | Vulnérabilité d'élévation des privilèges du spouleur d'impression Windows | Important | 7.2 | Non | Non | EoP |
| CVE-2022-24454 | Vulnérabilité d'élévation de privilèges de l'interface du fournisseur de support de sécurité Windows | Important | 7.8 | Non | Non | EoP |
| CVE-2022-24525 | Vulnérabilité d'élévation de privilèges dans la pile de mises à jour Windows | Important | 7 | Non | Non | EoP |
| CVE-2022-0789 | Chromium: débordement de mémoire tampon dans ANGLE | Haut | N / A | Non | Non | CRE |
| CVE-2022-0797 | Chromium: accès mémoire hors limites dans Mojo | Haut | N / A | Non | Non | CRE |
| CVE-2022-0792 | Chromium: Hors limites lu en ANGLE | Haut | N / A | Non | Non | CRE |
| CVE-2022-0795 | Chromium: Confusion de type dans la mise en page clignotante | Haut | N / A | Non | Non | CRE |
| CVE-2022-0790 | Chromium: utilisation gratuite dans l'interface utilisateur de Cast | Haut | N / A | Non | Non | CRE |
| CVE-2022-0796 | Chromium: utiliser après la gratuité dans les médias | Haut | N / A | Non | Non | CRE |
| CVE-2022-0791 | Chromium: utilisation gratuite dans l'Omnibox | Haut | N / A | Non | Non | CRE |
| CVE-2022-0793 | Chromium: utiliser après la gratuité dans les vues | Haut | N / A | Non | Non | CRE |
| CVE-2022-0794 | Chromium: utilisation gratuite dans WebShare | Haut | N / A | Non | Non | CRE |
| CVE-2022-0800 | Chromium: débordement de mémoire tampon dans l'interface utilisateur Cast | Moyen | N / A | Non | Non | CRE |
| CVE-2022-0807 | Chromium: mise en œuvre inappropriée dans la saisie automatique | Moyen | N / A | Non | Non | Info |
| CVE-2022-0802 | Chromium: implémentation inappropriée en mode plein écran | Moyen | N / A | Non | Non | Info |
| CVE-2022-0804 | Chromium: implémentation inappropriée en mode plein écran | Moyen | N / A | Non | Non | Info |
| CVE-2022-0801 | Chromium: implémentation inappropriée dans l'analyseur HTML | Moyen | N / A | Non | Non | Falsification |
| CVE-2022-0803 | Chromium: implémentation inappropriée dans les autorisations | Moyen | N / A | Non | Non | SFB |
| CVE-2022-0799 | Chromium: application insuffisante des règles dans le programme d'installation | Moyen | N / A | Non | Non | SFB |
| CVE-2022-0809 | Chromium: accès à la mémoire hors limites dans WebXR | Moyen | N / A | Non | Non | CRE |
| CVE-2022-0805 | Chromium: utilisation gratuite dans Browser Switcher | Moyen | N / A | Non | Non | CRE |
| CVE-2022-0808 | Chromium: utilisation gratuite dans Chrome OS Shell | Moyen | N / A | Non | Non | CRE |
| CVE-2022-0798 | Chromium: utilisation gratuite dans MediaStream | Moyen | N / A | Non | Non | CRE |
Gardez à l'esprit qu'aucun des bogues n'est répertorié comme sous exploit actif ce mois-ci, tandis que trois sont répertoriés comme publiquement connus au moment de la publication.
Ce sont tous les CVE traités avec la version Patch Tuesday de ce mois-ci. Dans l'ensemble, ce fut un mois assez lourd mais sûr, par rapport aux situations précédentes.
Le prochain lot de logiciels Patch Tuesday arrivera le 12 avril et nous sommes tous curieux de voir ce que Microsoft proposera jusque-là.
Espérons tous que nous n'aurons pas à faire face à des problèmes critiques, et que tout se passera désormais en douceur.
Cet article vous a-t-il été utile? Partagez votre opinion dans la section des commentaires ci-dessous.
