Microsoft a publié, comme chaque deuxième mardi du mois, sa série de correctifs de sécurité. Au cours de ce mois, Microsoft a corrigé un total de 97 vulnérabilités, dont 9 vulnérabilités à risque critique, ainsi que 6 vulnérabilités 0day, qui ont été publiquement divulguées sans l’existence d’un correctif de sécurité.
Les vulnérabilités, établies comme critiques par Microsoft, et corrigées dans le Patch Tuesday sont les suivantes :
- CVE-2022-21907 : Vulnérabilité d’exécution de code à distance dans la pile de protocoles HTTP, avec un score CVSSv3 de 9.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21907 - CVE-2022-21846 : Vulnérabilité d’exécution de code à distance dans les serveurs Microsoft Exchange, avec un score CVSSv3 de 9.0.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21846 - CVE-2022-21840 : Vulnérabilité d’exécution de code à distance dans Microsoft Office, avec un score CVSSv3 de 8.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21840 - CVE-2022-21857 : Vulnérabilité d’escalade de privilèges dans les services de domaine Active Directory, avec un score CVSSv3 de 8.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21857 - CVE-2022-21898 : Vulnérabilité d’exécution de code à distance dans le noyau DirectX, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21898 - CVE-2022-21912 : Vulnérabilité d’exécution de code à distance dans le noyau DirectX, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21912 - CVE-2022-21833 : vulnérabilité d’escalade de privilèges dans les lecteurs IDE virtualisés, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21833 - CVE-2022-21917 : vulnérabilité d’exécution de code à distance dans les extensions vidéo HEVC, avec un score CVSSv3 de 7.8.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21917 - CVE-2021-22947 : Vulnérabilité d’exécution de code à distance dans le logiciel open source Curl, avec un score CVSSv3 de 5.9.
Plus d’informations sur la vulnérabilité : https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-22947
Les vulnérabilités, établies comme 0day par Microsoft, ont été identifiées comme CVE-2021-22947, CVE-2021-36976, CVE-2022-21919, CVE-2022-21836, CVE-2022-21839 et CVE-2022-21874.
Actuellement, aucune activité liée aux vulnérabilités divulguées n’a été détectée. Cependant, étant donné qu’il existe des POC publiques pour certaines de ces vulnérabilités, il est recommandé d’appliquer de toute urgence les correctifs de sécurité de Microsoft.
Pour obtenir une liste complète des vulnérabilités avec des correctifs de sécurité, veuillez consulter le guide des mises à jour de sécurité de Microsoft.
Plus d’information:
https://msrc.microsoft.com/update-guide/vulnerability
https://www.tenable.com/blog/microsofts-january-2022-patch-tuesday-addresses-97-cves-cve-2022-21907
Laisser un commentaire