Nouveau Patch Tuesday volumineux pour Microsoft avec la correction de 113 vulnérabilités de sécurité. Pour ce rendez-vous de chaque deuxième mardi du mois, il était question de 115 vulnérabilités en mars et 99 vulnérabilités en février.
Guess what? Today is April 2020 Update Tuesday! You can find the latest updates online at https://t.co/sqNJoxQvH5.
— Security Response (@msftsecresponse) April 14, 2020
Sur les 113 bugs de sécurité corrigés, 17 sont critiques. Onze produits de Microsoft sont concernés avec Windows, Microsoft Edge (base Chromium et EdgeHTML), ChakraCore (moteur JavaScript), Internet Explorer, Office, Windows Defender, Visual Studio, Microsoft Dynamics, ainsi que Microsoft Apps pour Android et Mac.
Parmi les vulnérabilités, deux ont fait l'objet d'une divulgation publique et trois sont des 0day dans la mesure où elles ont été activement exploitées dans des attaques alors qu'il n'y avait pas de patch à disposition. Pour autant, elles ne sont pas considérées critiques.
It's the 2nd Tuesday of the month, which means the latest #security patches from #Adobe and #Microsoft are here. Join @dustin_childs as he breaks down the small release from Adobe and the 113 CVEs from Microsoft. https://t.co/YJ7BzGWqPk
— Zero Day Initiative (@thezdi) April 14, 2020
Pour les trois 0day, on retrouve la vulnérabilité dans Windows Adobe Type Manager Library qui avait fait parler d'elle le mois dernier avec la publication d'une alerte par Microsoft. Le groupe de Redmond souligne que la menace était faible pour Windows 10 et que pour cette plateforme, des attaques n'ont pas été constatées.
Une autre 0day affecte cette même bibliothèque logicielle. Elle n'avait pas fait l'objet d'un avis de sécurité de la part de Microsoft. Cela étant, les mesures de contournement prodiguées le mois dernier étaient également efficaces pour bloquer des attaques tentant de l'exploiter.
La dernière 0day est en rapport avec un bug dans le noyau Windows permettant à des attaquants - avec une authentification en local - une élévation de privilèges pour l'exécution de code.