Microsoft fournit des mises à jour critiques dans le dernier patch mardi de 2020
Le dernier correctif Microsoft mardi de 2020 regorgeait de correctifs de sécurité, mettant à jour des bogues affectant la plupart des produits Microsoft.
Bien que le patch mardi de décembre 2020 n'ait peut-être pas été le plus important de l'année, il contenait neuf correctifs critiques, avec 58 corrections de bogues globales pour les utilisateurs.
Que contient le patch mardi de décembre 2020 de Microsoft?
Patch Tuesday fait référence au premier mardi de chaque mois lorsque Microsoft et d'autres grandes entreprises technologiques publient leurs correctifs de sécurité pour le mois. Les correctifs de sécurité vont des vulnérabilités critiques aux problèmes plus basiques.
Le dernier patch mardi de Microsoft de 2020 contenait le deuxième plus petit nombre de vulnérabilités de toute l'année. Cependant, il contenait également neuf vulnérabilités de sécurité critiques qui nécessitent une correction immédiate.
Les bogues du Patch Tuesday contiennent des correctifs pour Windows 10, Microsoft Edge, Microsoft Office, Exchange Server et divers produits Microsoft Azure.
Sur les neuf bogues jugés critiques, tous les premiers sont des vulnérabilités d'exécution de code à distance, affectant Microsoft Dynamics 365, Microsoft Exchange et Microsoft SharePoint. Le correctif final remédie à une vulnérabilité critique de corruption de la mémoire avec le moteur de script Chakra.
Tous les correctifs impliquant une vulnérabilité d'exécution de code à distance sont extrêmement importants à installer dès que possible. L'exécution de code à distance permet efficacement à un attaquant d'accéder et de modifier un ordinateur à distance.
Étant donné que de nombreux produits Microsoft concernés par ces problèmes sont axés sur l'entreprise, il est important de corriger les vulnérabilités. Cependant, rien n'indique que l'une de ces vulnérabilités critiques soit activement exploitée dans la nature au moment de la rédaction.
Il y a un manque surprenant de correctifs de sécurité liés au navigateur. Dustin Childs deZero Day Initiative , une organisation qui recherche les vulnérabilités zero-day, écrit:
En regardant les mises à jour notées Critical restantes, une seule (étonnamment) a un impact sur le navigateur. Ce patch corrige un bogue dans le compilateur JIT. En effectuant des actions en JavaScript, un attaquant peut provoquer une condition de corruption de mémoire, ce qui conduit à l'exécution de code. Le manque de mises à jour du navigateur pourrait également être une décision consciente de Microsoft pour s'assurer qu'un mauvais correctif pour un navigateur ne perturbe pas les achats en ligne pendant la saison des fêtes.
Qu'en est-il des correctifs de sécurité non critiques?
Microsoft a publié 46 correctifs jugés importants en plus des correctifs de vulnérabilité critiques, avec trois correctifs jugés modérés.
Les correctifs importants incluent plusieurs vulnérabilités pour les programmes Microsoft Office, y compris des vulnérabilités d'exécution de code à distance pour Excel, PowerPoint et Outlook. Les autres produits Microsoft recevant des correctifs de sécurité importants incluent SharePoint, Microsoft Exchange, Dynamics CRM, Visual Code Studio, Windows Error Reporting et divers produits Azure.
Quand aura lieu le prochain patch mardi?
Le Patch Tuesday de décembre est toujours plus léger que les autres mois de l'année. Microsoft accorde un petit répit au nombre important de correctifs de sécurité nécessitant une installation chaque mois.
Néanmoins, lorsque des correctifs de sécurité sont disponibles pour votre produit Microsoft, vous devez les installer dès que possible.
Microsoft a publié plus de 1 200 correctifs en 2020, soit beaucoup plus que les 840 publiés en 2019. Et, au cas où vous vous poseriez la question, le premier Patch Tuesday de 2021 arrive le 12 janvier.