Le Patch Tuesday du mois de mai 2021 donne naissance à plusieurs mises à jour cumulatives Windows 10. KB5003173 se déploie sur les PC sous 20H2 qui est actuellement la version le plus récente du système d’exploitation de Microsoft. KB5003173 est proposée dans le cadre de la grande maintenance mensuelle de Redmond. Son contenu s’attaque ...
The post Windows 10, la mise à jour cumulative KB5003173 se déploie, quoi de neuf ? appeared first on GinjFo.
Pour ce Patch Tuesday de Mai 2021, Microsoft a corrigé 55 vulnérabilités, dont 4 considérées comme critiques et 3 failles Zero Day.
Commençons par les trois failles Zero Day corrigées au sein des produits Microsoft. Bien qu'elles étaient connues publiquement, elles ne sont pas exploitées dans le cadre d'attaques. Les trois failles en question sont les suivantes :
Il s'agit d'une faille dans .NET et Visual Studio qui permet une élévation de privilèges. Cela concerne les framework .NET 5.0 et .NET Core 3.1, tandis que pour Visual Studio, il y a plusieurs versions touchées : Visual Studio 2019 version 16.X sur Windows et Visual Studio 2019 version 8.9 sur macOS.
Cette faille de sécurité au sein d'Exchange a été découverte lors de la compétition de hacking Pwn2Own 2021 par l'équipe Devcore. Il s'agit d'une attaque complexe à mettre en œuvre d'après Microsoft et qui nécessite des privilèges élevés. D'ailleurs, lors de la compétition Pwn2Own, l'équipe de Devcore a effectué une élévation de privilèges avant de pouvoir exploiter cette faille.
Voici les versions d'Exchange Server concernées :
Microsoft Exchange Server 2013 Cumulative Update 23 Microsoft Exchange Server 2016 Cumulative Update 19 et Cumulative Update 20 Microsoft Exchange Server 2019 Cumulative Update 9 et Cumulative Update 8
Cette troisième et dernière faille Zero Day touche la boîte à outils Microsoft Neural Network Intelligence (NNI). Il s'agit d'une faille qui permet une exécution de code à distance. Abhiram V. de chez Resec System a corrigé cette faille directement sur le Github du projet, en poussant une nouvelle version du fichier common_utils.py.
Pour information, voici les noms des KB pour Windows 10 :
- Windows 10 version 1507 — KB5003172 (OS Build 10240.18932)
- Windows 10 version 1607 — KB5003197 (OS Build 14393.4402)
- Windows 10 version 1703 — Fin de support
- Windows 10 version 1709 — Fin de support
- Windows 10 version 1803 — KB5003174 (OS Build 17134.2208)
- Windows 10 version 1809 — KB5003171 (OS Build 17763.1935)
- Windows 10 version 1909 — KB5003169 (OS Build 18363.1556)
- Windows 10 version 2004 et 20H2 — KB5003173 (OS Build 19041.985 et 19042.985)
Mise à part les failles Zero Day, Microsoft a corrigé des vulnérabilités dans d'autres produits comme Windows 10, Office ou encore Internet Explorer. La liste des produits est longue et variée comme d'habitude.
Attention à ces quatre failles considérées comme critiques :
- CVE-2021-31166 - Pile du protocole HTTP
- CVE-2021-26419 - Internet Explorer
- CVE-2021-31194 - Windows OLE
D'ailleurs, la faille Hyper-V est particulièrement inquiétante : l'attaque s'effectue par le réseau, et Microsoft précise sur son site que le niveau de complexité pour l'exploiter est faible et qu'il ne faut pas spécialement de privilèges élevés. La Zero Day Initiative a attribué un score CVSS de 9.9 sur 10 à cette faille de sécurité.
La Zero Day Initiative alerte également les entreprises sur la faille qui touche la pile du protocole HTTP. En effet, cette faille permet à un attaquant non authentifié d'exécuter du code dans le noyau de Windows. Un paquet spécialement conçu peut affecter une machine non patchée. En plus, à la question "Is this wormable ?" Microsoft a précisé "Yes" sur son site donc on peut considérer que cette faille de sécurité est exploitable par un ver informatique.
Retrouvez la liste complète des mises à jour sur cette page : Microsoft - Sécurité Mai 2021
Bon, maintenant, il ne reste plus qu'à espérer qu'il n'y ait pas de trop de problèmes sur nos machines dans les prochains jours après l'installation des patchs... En tout cas, pour le moment c'est Outlook qui est en difficulté : Outlook : une mise à jour vous empêche de lire ou d'écrire un nouvel e-mail
The post Patch Tuesday – Mai 2021 : 55 vulnérabilités et 3 failles Zero Day corrigées first appeared on IT-Connect.Microsoft déploie de nouvelles mises à jour cumulatives dont certaines visent Windows 10. Comme tous les Patch Tuesday, nous retrouvons des correctifs de sécurité. En parallèle des corrections de bugs sont aussi proposés. Microsoft corrige un total de 24 vulnérabilités dans Windows 10 20H1 et 20H2 dont trois sont jugées critiques. Nous avons aussi 16 ...
The post Windows 10, Microsoft corrige 24 failles de sécurité appeared first on GinjFo.
Comme tous les mois, Microsoft va assurer la maintenance de Windows 10. Prévu le deuxième mardi de chaque mois, elle porte le nom de Patch Tuesday avec à la clé nombreuses mises à jour cumulatives. Microsoft va donner le coup d’envoi à sa grande maintenance mensuelle. Elle va proposer des correctifs afin de colmater différentes ...
The post Windows 10 et le Patch Tuesday de mai 2021, il est temps de préparer son PC appeared first on GinjFo.
Le Patch Tuesday du mois de mai 2021 va donner naissance à plusieurs mises à jour cumulatives Windows 10. Il s’agit aussi de la dernière grande maintenance de Windows 10 v1909. Après cette date, cette version de Windows 10 ne sera plus prise en charge par Microsoft. En clair le système d’exploitation sera livré à ...
The post Windows 10 v1909 est en fin de vie, plus de 110 millions de PC doivent l’abandonner appeared first on GinjFo.
FreshRSS 