Microsoft publie ses correctifs de sécurité pour le mois de décembre. Un peu moins d'une quarantaine de vulnérabilités sont corrigées, dont neuf critiques. Parmi ces dernières, la plupart sont en rapport avec le navigateur web et en particulier le moteur de script Chakra (JavaScript) de Microsoft Edge, ainsi que .NET Framework et Windows (serveurs DNS).

Une nouvelle fois, Microsoft corrige en outre une 0day exploitée dans la nature. En l'occurrence, il ne s'agit pas d'une vulnérabilité jugée critique. Elle affecte toutes les versions de Windows. Elle est présentée comme une vulnérabilité d'élévation de privilèges dans le noyau Windows.

Pour son exploitation, un attaquant doit au préalable ouvrir une session sur le système pris pour cible. " Un attaquant pourrait exécuter du code arbitraire en mode noyau. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. "

La vulnérabilité a une nouvelle fois été signalée à Microsoft par des chercheurs en sécurité de Kaspersky Lab. À ZDNet, un porte-parole de Kaspersky Lab a précisé que de mêmes groupes de cyberespionnage ayant exploité une autre 0day corrigée en novembre sont derrière les nouvelles attaques découvertes.

A priori, il s'agit donc d'un nombre très limité d'attaques, et avec des victimes qui se trouveraient essentiellement au Moyen-Orient.

À noter qu'Adobe a calé sa mise à jour de sécurité pour Adobe Reader et Adobe Acrobat avec le Patch Tuesday de Microsoft. La semaine dernière, Adobe avait publié en urgence une mise à jour de sécurité pour Flash Player.

Un récapitulatif des vulnérabilités corrigées ce mois par Microsoft est proposé par Zero Day Initiative et sur l'Internet Storm Center du SANS Technology Institute.