Microsoft a publié aujourd’hui des mises à jour pour combler au moins 120 failles de sécurité dans son les fenêtres systèmes d’exploitation et logiciels pris en charge, y compris deux vulnérabilités récemment découvertes qui sont activement exploitées. Oui, braves gens du monde Windows, il est de nouveau temps de sauvegarder et de réparer !
Au moins 17 des bogues éliminés dans le lot de correctifs d’août corrigent des vulnérabilités que Microsoft qualifie de « critiques », ce qui signifie qu’ils peuvent être exploités par des malfaiteurs ou des logiciels malveillants pour obtenir un contrôle complet et à distance sur un système affecté avec peu ou pas d’aide des utilisateurs. C’est le sixième mois consécutif que Microsoft propose des correctifs pour plus de 100 failles dans ses produits.
Le plus préoccupant d’entre eux semble être CVE-2020-1380ce qui est une faiblesse dans Internet Explorer cela pourrait entraîner une compromission du système simplement en naviguant avec IE vers un site Web piraté ou malveillant. L’avis de Microsoft indique que cette faille est actuellement exploitée dans des attaques actives.
L’autre faille bénéficiant d’une exploitation active est CVE-2020-1464, qui est un bogue « d’usurpation » dans pratiquement toutes les versions prises en charge de Windows qui permet à un attaquant de contourner les fonctionnalités de sécurité de Windows et de charger des fichiers mal signés. Pour en savoir plus sur cette faille, consultez Microsoft Report Fixing Zero for 2 Years.
Initiative Zero Day de Trend Micro pointe vers un autre correctif — CVE-2020-1472 — qui implique un problème critique dans Serveur Windows versions qui pourraient permettre à un attaquant non authentifié d’obtenir un accès administratif à un contrôleur de domaine Windows et d’exécuter une application de son choix. Un contrôleur de domaine est un serveur qui répond aux demandes d’authentification de sécurité dans un environnement Windows, et un contrôleur de domaine compromis peut donner aux attaquants les clés du royaume à l’intérieur d’un réseau d’entreprise.
« Il est rare de voir un bogue d’élévation de privilèges critique, mais celui-ci le mérite », a déclaré ZDI’S Dustin Childs. « Le pire, c’est qu’il n’y a pas de solution complète disponible. »
Peut-être le plus « élite” la vulnérabilité abordée ce mois-ci a mérité la distinction d’être nommée CVE-2020-1337et fait référence à une faille de sécurité dans Spouleur d’impression Windows service qui pourrait permettre à un attaquant ou à un logiciel malveillant d’élever ses privilèges sur un système s’il était déjà connecté en tant qu’utilisateur normal (non administrateur).
Satnam Narang à Défendable note que CVE-2020-1337 est un contournement de patch pour CVE-2020-1048une autre vulnérabilité de Windows Print Spooler qui a été corrigée en mai 2020. Narang a déclaré que les chercheurs avaient découvert que le correctif pour CVE-2020-1048 était incomplet et ont présenté leurs conclusions pour CVE-2020-1337 Chapeau noir conférence sur la sécurité plus tôt ce mois-ci. Plus d’informations sur CVE-2020-1337, y compris une démonstration vidéo d’un exploit de preuve de concept, sont disponibles ici.
Adobe nous a gracieusement donné un autre mois de répit pour patcher Lecteur Flash défauts, mais il a publié des mises à jour de sécurité critiques pour son Acrobate et Lecteur PDF des produits. Plus d’informations sur ces mises à jour sont disponibles ici.
Gardez à l’esprit que bien qu’il soit indispensable de rester à jour sur les correctifs Windows, il est important de vous assurer que vous ne mettez à jour qu’après avoir sauvegardé vos données et fichiers importants. Une sauvegarde fiable signifie que vous êtes moins susceptible de vous arracher les cheveux lorsqu’un correctif de bogue impair cause des problèmes de démarrage du système.
Alors faites-vous une faveur et sauvegardez vos fichiers avant d’installer des correctifs. Windows 10 a même quelques outils intégrés pour vous aider à le faire, soit par fichier/dossier, soit en créant une copie complète et amorçable de votre disque dur en une seule fois.
Et comme toujours, si vous rencontrez des problèmes ou des problèmes lors de l’installation de l’un de ces correctifs ce mois-ci, pensez à laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent donner ici quelques conseils utiles.