Patch Tuesday – Novembre 2020 : 17 failles critiques pour ce mois-ci
Comme tous les mois, Microsoft a dévoilé son nouveau Patch Tuesday, avec à la clé différents correctifs pour ses produits. Pour ce patch cumulatif de Novembre 2020, nous avons le droit à 17 failles critiques dont 12 qui correspondent à des failles permettant de l'exécution de code à distance. En complément, il y a 93 failles de sécurité avec une sévérité "importante".
Tout d'abord, il faut savoir que Microsoft a corrigé la faille 0-day (CVE-2020-17087) découverte par les chercheurs de l'équipe Project Zero de Google et qui avait été rendue publique suite au manque de réactivité de la part de Microsoft. Ceci concerne Windows 7, Windows 8.1, Windows RT et Windows 10, ainsi que Windows Server. de 2008 à 2019. Il faut un accès physique à la machine pour exploiter cette faille.
➡ Google révèle une faille 0-day dans Windows
Passons maintenant à la CVE-2020-17051 qui permet une exécution de code à distance. Elle touche le protocole NFS et donc les transferts de fichiers via des échanges client-serveur pour accéder à des données. Par ailleurs, les chercheurs de chez Automox recommandent de patcher en priorité une paire de failles liées à de la corruption de mémoire. Il s'agit d'une faille dans le moteur de script Microsoft et une autre dans Internet Explorer, référencés : CVE-2020-17052 et CVE-2020-17053. Elles permettent d'effectuer une exécution de code à distance et seraient exploitables au travers de liens malveillants dissimulés dans du phishing.
D'autres produits sont concernés par ce Patch Tuesday, nous retrouvons Edge (EdgeHTML et Chromium), Microsoft Office, Exchange Server, Windows Defender, Microsoft Teams, ou encore Azure Sphere. Sur Windows 10, en fonction de votre version, cette mise à jour mensuelle apparaître avec l'une des références suivantes : KB4586781, KB4586786 ou KB4586793.
