Les mises à jour de sécurité de Microsoft pour le mois de septembre sont disponibles. Une soixantaine de vulnérabilités sont corrigées, dont la vulnérabilité CVE-2021-40444 divulguée la semaine dernière. Une alerte avait été donnée en raison d'une exploitation active dans le cadre d'attaques ciblées.
Dans l'attente d'un correctif désormais disponible, Microsoft avait proposé une mesure de contournement consistant à modifier le registre afin d'empêcher l'installation de nouveaux contrôles ActiveX. Une modification réversible.
Pour toutes les versions de Windows, cette vulnérabilité affecte le composant MSHTML (alias Trident) du système d'exploitation et moteur de rendu d'Internet Explorer. Un attaquant peut obtenir une exécution de code arbitraire à distance via un fichier Office piégé intégrant un contrôle ActiveX malveillant.
Microsoft comble également trois vulnérabilités critiques pour lesquelles il n'est pas fait mention d'une exploitation active. Parmi celles-ci, CVE-2021-36965 touche WLAN AutoConfig qui est impliqué dans la gestion des connexions automatiques aux réseaux Wi-Fi pour Windows.
Security Updates for September 2021 are now available!. Details are here: https://t.co/ZKxt7vgBBl
— Security Response (@msftsecresponse) September 14, 2021
À noter que Google a publié une mise à jour de son navigateur Chrome afin de corriger 11 vulnérabilités de sécurité, dont deux pour lesquelles il existe des exploits dans la nature. L'une d'elles - CVE-2021-30632 - affecte le moteur JavaScript V8. Elle est également corrigée avec le Patch Tuesday de Microsoft pour le navigateur Edge qui est à base Chromium.
