IT-Connect » Actualités » Actu Cybersécurité » Patch Tuesday – Janvier 2023 : 98 failles de sécurité et une zero-day corrigées par Microsoft

Microsoft Patch Tuesday Janvier 2023
Actu Cybersécurité Logiciel - OS 

Patch Tuesday – Janvier 2023 : 98 failles de sécurité et une zero-day corrigées par Microsoft

Florian BURNEL 1154 Views 1 Commentaire , , 2 min read

Microsoft a mis en ligne le premier Patch Tuesday de l'année 2023 ! Pour ce mois de janvier, l'entreprise américaine a corrigé 98 failles de sécurité et une zero-day. Faisons le point !

Dans ce Patch Tuesday, où l'on retrouve 11 vulnérabilités critiques, Microsoft a inclus des correctifs pour de nombreux produits et composants, parmi lesquels : .NET Core, 3D Builder, Exchange Server, Microsoft Graphics Component, le service LSASRV, Office, SharePoint, Visio, Visual Studio Code, BitLocker, Windows Cryptographic Services, l'extension IKE de Windows, Windows Installer, LDAP, WMI, le Spouleur d'impression de Windows, SSTP, ou encore NTLM.

En complément, voici la liste des vulnérabilités critiques :

Il est à noter que cette liste de vulnérabilités fait référence à 5 CVE corrigées dans Microsoft Exchange Server.

Faille Zero-Day : CVE-2023-21674

Découverte par Jan Vojtěšek, Milánek, et Przemek Gmerek de chez Avast, la faille de sécurité CVE-2023-21674 affecte toutes les versions de Windows et Windows Server, y compris les versions les plus récentes et les installations de Windows Server en mode Core.

Cette faille de sécurité se situe dans le composant ALPC (Advanced Local Procedure Call) de Windows et elle permet une élévation de privilèges. Sur son site, Microsoft précise : "Un attaquant ayant réussi à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTEM." - La firme de Redmond précise également que cette vulnérabilité a été exploitée dans le cadre d'attaques.

Faille CVE-2023-21549

Par ailleurs, la vulnérabilité CVE-2023-21549 qui affecte le service Windows "SMB Witness" sera à suivre de près, car, bien qu'elle ne soit pas exploitée, elle est marquée comme étant divulguée publiquement.

Cependant, Stiv Kupchik, le chercheur en sécurité d'Akamai à l'origine de cette découverte (accompagné par Ophir Harpaz), a indiqué au site BleepingComputer que cette vulnérabilité ne devrait pas être classée comme divulguée publiquement, car il a suivi le processus de divulgation habituel. Soit il s'agit d'une erreur de Microsoft, soit Microsoft a d'autres informations complémentaires. À suivre.

Il est à noter que ce Patch Tuesday est le dernier pour deux systèmes d'exploitation de Microsoft : Windows 8.1 et Windows 7 !

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5566.Voir tous les posts

Vous pourrez aussi aimer

FortiNAC (CVE-2022-39952) et FortiWeb (CVE-2021-42756)

Fortinet a corrigé deux failles critiques dans FortiNAC et FortiWeb

Florian BURNEL 0
38 To de données accidentellement exposées par l'équipe IA de Microsoft

38 To de données accidentellement exposées par l’équipe IA de Microsoft

Florian BURNEL 0
Une future mise à jour va désactiver Internet Explorer

Internet Explorer : Microsoft affirme qu’une mise à jour va désactiver le navigateur !

Florian BURNEL 0

One thought on “Patch Tuesday – Janvier 2023 : 98 failles de sécurité et une zero-day corrigées par Microsoft

  • Pas de retour en lien avec des régressions observé avec cette mise à jour jusqu’à maintenant?

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.