C'est l'heure du Patch Tuesday ! Microsoft a publié ce mardi son lot de mises à jour mensuelles, avec notamment 87 failles de sécurité corrigées, dont 11 classées comme critiques.

La vulnérabilité CVE-2020-16898 est certainement la plus inquiétante avec un score CVSS de 9,8 sur 10. Cette faille touche directement Windows 10 et Windows Server 2019 au niveau de la pile TCP/IP. Pour exploiter cette vulnérabilité sur un hôte et exécuter du code malveillant, le hacker doit envoyer un paquet ICMPv6 de type "Router Advertisement" spécialement conçu pour l'attaque. De son côté, McAfee a nommé cette faille "Bad Neighbor".

De son côté, la Zero Day Initiative de chez Trend Micro s'intéresse à une autre vulnérabilité : CVE-2020-16947. Cette fois-ci, cette faille concerne le client de messagerie Outlook et qui permettrait d'exécuter du code avec les droits "Système" simplement en prévisualisation la pièce jointe d'un e-mail. Autrement dit, si l'utilisateur est connecté avec un compte administrateur sur la machine, cela pourrait créer des dégâts importants... Cette vulnérabilité n'était pas connue publiquement avant ce correctif. Au niveau des versions affectées, nous avons Outlook 2016, Outlook 2019, ainsi qu'Outlook via la suite Microsoft 365 Apps for Enterprise. Une seconde vulnérabilité touche Outlook, y compris la version Outlook 2013, et elle est référencée avec le nom CVE-2020-16949.

Par ailleurs, nous retrouvons également deux failles de sécurité au sein du protocole RDP. Référencées avec les noms suivants : CVE-2020-16896, et CVE-2020-16927. elles héritent d'un score CVSS de 7,5 sur 10 toutes les deux. La deuxième vulnérabilité est de type déni de service.

Enfin, d'autres produits et composants Microsoft sont concernés par ce Patch Tuesday d'Octobre 2020 : Exchange Server, Visual Studio, .NET Framework, le noyau Windows, ainsi que d'autres produits de la suite Office comme Excel et Word. Il est à noter également qu'une mise à jour de sécurité pour Adobe Flash Player est disponible pour Windows 8, Windows 10 et Windows Server 2012/2012 R2/2016 : ce sera l'une des dernières.

Retrouvez toutes les informations sur le site de Microsoft : Octobre 2020

A vos mises à jour...!

The post Patch Tuesday - Octobre 2020 : la faille "Bad Neighbor" pour Windows first appeared on IT-Connect.