Pour ce mois de septembre, Microsoft livre ses mises à jour de sécurité et corrige une soixantaine de vulnérabilités affectant ses produits. Un Patch Tuesday relativement léger par rapport aux précédents qui contient des correctifs pour cinq vulnérabilités critiques et deux 0-day.

De type exécution de code à distance, trois vulnérabilités critiques concernent Visual Studio (CVE-2023-36792, CVE-2023-36793, CVE-2023-36796) et une vulnérabilité critique CVE-2023-38148 affecte le service ICS (Internet Connection Sharing) de Windows. C'est pour cette dernière que l'indice de dangerosité est le plus élevé, mais ICS n'est pas activé par défaut.

La dernière vulnérabilité critique CVE-2023-29332 est de type élévation de privilèges pour le service Azure Kubernetes. Il est en rapport avec le déploiement de conteneurs dans la plateforme de cloud computing Azure. Une exploitation ne nécessite pas d'interaction de l'utilisateur.

Deux vulnérabilités 0-day pour le Patch Tuesday

Sans être jugées critiques, deux vulnérabilités CVE-2023-36761 et CVE-2023-36802 sont activement exploitées. Une exploitation alors que des correctifs n'étaient pas encore disponibles. Qui plus est, CVE-2023-36761 a fait l'objet d'une divulgation publique.

De type divulgation d'informations, la vulnérabilité CVE-2023-36761 touche Word et son exploitation entraîne la divulgation des hachages NTLM (New Technology LAN Manager). Un vecteur d'attaque est la prévisualisation de documents.

La vulnérabilité d'élévation de privilèges CVE-2023-36802 est dans Windows et Microsoft Streaming Service Proxy (mskssrv.sys). Microsoft Stream est un service vidéo qui a pris la succession d'Office 365 Video.

microsoft-patch-tuesday-septembre-2023

N'oubliez pas Microsoft Edge

Comme pour Google Chrome et les autres navigateurs à base Chromium, mais pas seulement (c'est aussi le cas de Firefox), Microsoft Edge n'échappe pas à une mise à jour de sécurité distincte, afin de combler la vulnérabilité de sécurité critique CVE-2023-4863.

Cette vulnérabilité 0-day est en lien avec du code utilisé pour le traitement et la lecture des images au format WebP - largement présent sur le Web - développé par Google.