Pour ce premier Patch Tuesday de l'année 2022, nous avons le droit à une belle fournée de correctifs puisque Microsoft a corrigé 97 vulnérabilités et 6 failles zero-day.

Sans compter les 29 vulnérabilités corrigées dans le navigateur Edge, Microsoft a corrigé 97 failles de sécurité dont 9 considérées comme critiques et 88 comme importantes. Deux types de failles sortent du lot puisque nous retrouvons 41 vulnérabilités de type élévation de privilèges et 29 vulnérabilités de type exécution de code à distance.

Si l'on s'intéresse aux vulnérabilités critiques, voici la liste obtenue :

• CVE-2022-21846 : exécution de code à distance dans Microsoft Exchange (qui d'ailleurs est concerné aussi par deux autres failles)
• CVE-2022-21840 : exécution de code à distance dans Office
• CVE-2022-21917 : exécution de code à distance dans la librairie Windows Codecs
• CVE-2021-22947 : exécution de code à distance dans Curl (il s'agit d'une zero-day)
• CVE-2022-21857 : élévation de privilèges dans l'Active Directory
• CVE-2022-21898 : exécution de code à distance dans DirectX
• CVE-2022-21912 : exécution de code à distance dans DirectX
• CVE-2022-21907 : exécution de code à distance dans l'implémentation du protocole HTTP
• CVE-2022-21833 : élévation de privilèges via un lecteur IDE d'une machine virtuelle

Comme souvent, de nombreux produits sont concernés par ce Patch Tuesday : .NET Framework, Hyper-V, Windows Defender, Windows IKE Extension, Windows Installer, le noyau Windows, Windows RDP, Windows ReFS, composant Win32K, etc.

Six failles zero-day : aucune exploitée activement

Microsoft a corrigé six failles zero-day, c'est-à-dire des vulnérabilités déjà connues publiquement, mais qui n'étaient pas encore patchée. La bonne nouvelle, c'est que ces vulnérabilités ne semblent pas exploitée activement par les pirates, en tout cas pour le moment, car cela pourrait rapidement changer.

Voici la liste des zero-day :

• CVE-2021-22947 - Exécution de code à distance dans Curl
• CVE-2021-36976 - Exécution de code à distance dans Libarchive
• CVE-2022-21919 - Elévation de privilèges via le service Windows User Profile
• CVE-2022-21836 - Spoofing via le gestionnaire de certificats Windows
• CVE-2022-21839 - Déni de service dans la liste de contrôle d'accès du suivi d’événements pour Windows
• CVE-2022-21874 - Exécution de code à distance dans l'API de l'outil Windows Security Center

Il est à noter que Curl et Libarchive sont des outils externes à Windows et qu'ils ont déjà été patchés par leur éditeur respectif. Néanmoins, la version patchée n'était pas encore disponible pour Windows.

D'autres articles à suivre dans la journée au sujet des nouvelles mises à jour publiées par Microsoft, notamment pour Windows 10 et Windows 10.

Source

The post Patch Tuesday – Janvier 2022 : 97 vulnérabilités corrigées et 6 zero-day first appeared on IT-Connect.