C'est un très gros Patch Tuesday pour Microsoft en ce mois de février avec au compteur la correction de 99 vulnérabilités de sécurité. Pour autant et à une exception près, cette flopée de patchs - qui couvre plusieurs produits de Microsoft - n'est pas synonyme d'une urgence globale particulière.
Parmi toutes les vulnérabilités, 12 sont jugées critiques, dont 7 pour les navigateurs Microsoft Edge (EdgeHTML) et Internet Explorer et les moteurs de script, 2 pour le Remote Desktop Client, 3 pour les fichiers LNK, Media Foundation et Windows.
À noter que pour Microsoft Edge, il ne s'agit pas du nouveau Microsoft Edge basé sur Chromium. Pour ce dernier, les mises à jour sont indépendantes et livrées de la même manière que pour Google Chrome par exemple.
More than 100 security patches were released by #Adobe and #Microsoft today. Join @dustin_childs as he breaks down what's under active attack and offers guidance on test & deployment prioritization. https://t.co/T8UlW3Y5ge #PatchTuesday
— Zero Day Initiative (@thezdi) February 11, 2020
Pour cinq vulnérabilités, il y a eu une divulgation publique. Néanmoins, seulement une est considérée critique et avec une exploitation dans la nature. Il s'agit de cette exception évoquée plus haut et elle fait référence à une vulnérabilité de sécurité affectant Internet Explorer (IE11).
Le correctif pour IE11 - une faille CVE-2020-0674 de type exécution de code à distance - était attendu puisque Microsoft avait publié le mois dernier une alerte de sécurité et en proposant en attendant des mesures de mitigation pour les administrateurs en limitant l'accès à Jscript.dll.
Pour cette 0day, Microsoft avait évoqué un nombre limité d'attaques ciblées. La découverte émane de chercheurs en sécurité du groupe de cybersécurité chinois Qihoo 360 et du Threat Analysis Group de Google.
CVE-2020-0674 is patched today after in-the-wild exploitation detected by @_clem1 of Google TAG. This is now the 3rd attempt to patch this bug after 2 misfixes (CVE-2019-1367/CVE-2019-1429). We have to fix these bugs the 1st time, especially when they've been exploited itw.
— Maddie Stone (@maddiestone) February 11, 2020
Membre de Project Zero de Google, Maddie Stone indique qu'il s'agit de la troisième tentative pour corriger complètement le bug de sécurité après deux échecs.