C'est un Patch Tuesday léger que livre Microsoft avec la correction d'un total de 48 vulnérabilités de sécurité, dont près de la moitié pour le navigateur Microsoft Edge. D'après Zero Day Initiative, un tel volume reste toutefois dans la lignée des publications antérieures du mois de février, à l'exception de l'année 2020.
Ce qui est finalement plus inhabituel est que la fournée mensuelle de correctifs ne contient aucun patch pour combler ne serait-ce qu'une seule vulnérabilité critique. Un cas de figure très rare. Le niveau de dangerosité des vulnérabilités corrigées est important.
Tenable détaille que les vulnérabilités d'exécution de code à distance et d'élévation de privilèges comptent toutes les deux pour 33,3 % des vulnérabilités corrigées ce mois-ci. À souligner qu'une vulnérabilité CVE-2022-21989 a fait l'objet d'une divulgation publique.
Une divulgation publique sans exploit actif
Pour l'ensemble des versions de Windows, la vulnérabilité CVE-2022-21989 est de type élévation de privilèges dans le noyau Windows. Selon l'index d'exploitabilité de Microsoft, son exploitation est dite plus probable. Aucune exploitation n'a été détectée pour le moment et le correctif est désormais à disposition.
D'après Microsoft, une exploitation réussie de cette vulnérabilité " nécessite qu'un attaquant prenne des mesures supplémentaires avant l'exploitation pour préparer l'environnement cible. " Du reste, son score CVSS pour sa sévérité est de 7.8.
Les scores de sévérité les plus élevés (8.8) sont pour les vulnérabilités CVE-2022-21984 et CVE-2022-22005 de type exécution de code à distance. Elles affectent respectivement Windows DNS Server et Microsoft SharePoint Server.
