Microsoft a déployé des correctifs pour son système d’exploitation Windows et d’autres composants logiciels afin de remédier aux principales lacunes de sécurité dans le cadre de Mises à jour du mardi des correctifs pour juin 2023.
Sur les 73 défauts, six sont classés critiques, 63 sont classés importants, deux sont classés modérés et un est classé faible en gravité. Cela inclut également trois problèmes que le géant de la technologie a résolus dans son navigateur Edge basé sur Chromium.
Il convient de noter que Microsoft a également fermé 26 autres défauts dans Edge – tous enracinés dans Chromium lui-même – depuis la publication des mises à jour de May Patch Tuesday. Cela comprend CVE-2023-3079, un bogue zero-day que Google a révélé comme étant activement exploité dans la nature la semaine dernière.
Les mises à jour de juin 2023 marquent également la première fois depuis plusieurs mois qui ne présentent aucune faille zero-day dans les produits Microsoft connus du public ou faisant l’objet d’attaques actives au moment de la publication.
En tête de liste des correctifs se trouve CVE-2023-29357 (score CVSS : 9,8), une faille d’élévation de privilèges dans SharePoint Server qui pourrait être exploitée par un attaquant pour obtenir des privilèges d’administrateur.
« Un attaquant qui a eu accès à des jetons d’authentification JWT usurpés peut les utiliser pour exécuter une attaque réseau qui contourne l’authentification et lui permet d’accéder aux privilèges d’un utilisateur authentifié », a déclaré Microsoft. « L’attaquant n’a besoin d’aucun privilège et l’utilisateur n’a besoin d’effectuer aucune action. »
Trois bogues critiques d’exécution de code à distance ont également été corrigés par Redmond (CVE-2023-29363, CVE-2023-32014et CVE-2023-32015scores CVSS : 9,8) dans Windows Pragmatic General Multicast (PGM) qui pourraient être militarisés pour « réaliser l’exécution de code à distance et tenter de déclencher un code malveillant ».
Microsoft a précédemment corrigé une faille similaire dans le même composant (CVE-2023-28250score CVSS : 9,8), un protocole conçu pour acheminer des paquets entre plusieurs membres du réseau de manière fiable, en avril 2023.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le géant de la technologie a également résolu deux bogues d’exécution de code à distance affectant Exchange Server (CVE-2023-28310 et CVE-2023-32031) qui pourrait permettre à un attaquant authentifié d’exécuter du code à distance sur les installations affectées.
Correctifs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment —