Les mises à jour Patch Tuesday de Microsoft pour le mois d’avril ont corrigé un total de 128 vulnérabilités de sécurité couvrant l’ensemble de son portefeuille de produits logiciels, notamment Windows, Defender, Office, Exchange Server, Visual Studio et Print Spooler, entre autres.
10 des 128 bogues corrigés sont classés critiques, 115 sont classés importants et trois sont classés de gravité modérée, l’un des défauts étant répertorié comme publiquement connu et un autre faisant l’objet d’une attaque active au moment de la publication.
Les mises à jour s’ajoutent à 26 autres failles résolues par Microsoft dans son navigateur Edge basé sur Chromium depuis le début du mois.
La faille activement exploitée (CVE-2022-24521, score CVSS : 7,8) concerne une vulnérabilité d’élévation des privilèges dans le système de fichiers journaux Windows Common (CLFS). Adam Podlosky et Amir Bazine sont crédités d’avoir signalé la faille.
La deuxième faille zero-day publiquement connue (CVE-2022-26904, score CVSS : 7,0) concerne également un cas d’élévation de privilèges dans le service de profil utilisateur Windows, dont l’exploitation réussie « nécessite qu’un attaquant gagne une condition de concurrence ».
D’autres failles critiques à noter incluent un certain nombre de failles d’exécution de code à distance dans RPC Runtime Library (CVE-2022-26809, score CVSS : 9,8), Windows Network File System (CVE-2022-24491 et CVE-2022-24497, scores CVSS : 9.8), Windows Server Service (CVE-2022-24541), Windows SMB (CVE-2022-24500) et Microsoft Dynamics 365 (CVE-2022-23259).
Microsoft a également corrigé jusqu’à 18 failles dans Windows DNS Server, une faille de divulgation d’informations et 17 failles d’exécution de code à distance, qui ont toutes été signalées par le chercheur en sécurité Yuki Chen. 15 failles d’escalade de privilèges dans le composant Windows Print Spooler ont également été corrigées.
Les correctifs arrivent une semaine après que le géant de la technologie a annoncé son intention de mettre à disposition une fonctionnalité appelée AutoPatch en juillet 2022 qui permet aux entreprises d’accélérer l’application des correctifs de sécurité en temps opportun tout en mettant l’accent sur l’évolutivité et la stabilité.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs pour corriger plusieurs vulnérabilités, à savoir —
Adobe
Android
Apache Struts 2
Systèmes Cisco
Citrix
Dell
Google Chrome
Client PCoIP HP Teradici
Réseaux Juniper
Distributions Linux Oracle Linux, Red Hat et SUSE
Mozilla Firefox, Firefox ESR et Thunderbird
SÈVE
Schneider Electric
Siemens, et
VMware