Microsoft corrige six failles zero-day activement exploitées dans son Patch Tuesday

09 juin 2021 à 11h40
17
© Microsoft
© Microsoft

Dans son dernier Patch Tuesday, Microsoft a corrigé plus de 50 vulnérabilités, dont six failles zero-day activement exploitées.

Parmi les 50 vulnérabilités corrigées, 5 sont considérées comme critiques, et les autres sont classées comme importantes.

Deux failles zero-day utilisées par un nouveau groupe de hackers

C'est en vérité sept zero-day qui ont été corrigées dans ce Patch Tuesday par Microsoft, mais l'une d'entre elles n'a pas été repérée comme ayant été utilisée dans des attaques. Il s'agit de la CVE-2021-31968, une vulnérabilité de déni de service dans la fonctionnalité « Bureau à distance ». Elle remonte à Windows 7 et avait déjà été dévoilée publiquement sans être utilisée par la suite. Il reste toutefois plus prudent d'appliquer les correctifs.

Au contraire, deux autres sont actuellement utilisées par un nouveau groupe appelé PuzzleMaker. Découverts par Kapersky, ces hackers utilisent en premier lieu une faille zero-day présente dans V8, le moteur JavaScript de Google Chrome, pour accéder au système. Par la suite, ils utilisent deux des failles corrigées ce mardi : la CVE-2021-31955, qui est une vulnérabilité de divulgation d'informations présente dans le noyau Windows, et la CVE-2021-31956, une vulnérabilité d'élévation de privilège dans Windows NTFS.

Une faille importante dans la plateforme MSHTML

Une autre d'entre elles, la CVE-2021-33742, concerne toutes les versions actuellement supportées de Windows. Elle est considérée comme critique et permet l'exécution de code à distance via la plateforme MSHTML. Cette plateforme avait été créée pour Internet Explorer, mais continue d'être utilisée aujourd'hui, notamment par le mode Internet Explorer dans Edge. Elle nécessite une interaction de l'utilisateur et peut donc être exploitée grâce à l'ouverture d'un fichier malveillant ou la visite d'une page web créée pour l'occasion.

Les trois dernières sont des vulnérabilités d'élévation de privilège : deux qui concernent Microsoft Enhanced Cryptographic Provider et une dans la bibliothèque principale de Microsoft DWM. Comme d'habitude, le mot d'ordre est d'appliquer les correctifs au plus vite, surtout pour les failles activement exploitées.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (17)

Pronimo
Le mode internet explorer dans Edge… non mais internet explorer et son noyau devrais etre définitivement purgé de Windows. Mais bon je suppose qu’il y’a des toujours des entreprises avec leurs outils de dinosaures et qui ont en besoin :x
TNZ
Dans le monde professionnel, c’est Microsoft tout court qui devrait être purgé. Et à la place des produits M $, on prend des vrais informaticiens qui savent comment un ordinateur fonctionne et ils posent une infra logiciel d’exploitation de SI adaptée à l’entreprise et bien sûr sans fanfaronner sur internet histoire de ne pas dévoiler les éléments de leur stratégie de sécurité.
ch4kal
Mais oui, bien sûr !
ti4444
Ce qui pose le problème pas n’est Microsoft, mais tous les outils qui rendent indispensables Windows → Je pense aux formulaires PDF qui ne fonctionne que sous Windows / un certain nombre de démarches administrative ou pour commander chez des fournisseurs qui ne fonctionnent qu’avec des fichiers Office au format fermé etc…<br /> Sinon c’est clair que les outils lourds tel que SAP ne devrait plus exister pour être remplacer par des applications full web et donc interopérables…
Messenger
Ni PDF, ni les formats Microsoft Office ne sont des formats fermés.<br /> Et une application Web n’est en aucun cas plus interopérable qu’une autre…
Messenger
La sécurité par l’obscurité (qui à beaucoup été reprochée à tord à Microsoft) n’à jamais été une bonne stratégie.<br /> Le fait fait de prévenir qu’une faille de sécurité est déjà exploitée, et qu’un correctif est déjà disponible me parait une démarche responsable.<br /> Enfin… tout applicatif contient des imperfections, de sécurité ou non… quelque soit la qualité des développeurs.<br /> Tout le monde n’a pas les équipes, les moyens ou la volonté de corriger rapidement les problèmes…
TNZ
Ok, pourquoi alors les correctifs sont ils disponibles en quelques heures sur une Debian alors qu’on peut aller à plusieurs jours, voire années chez Microsoft ?
TNZ
Les formulaires PDF fonctionnent dans Okular (lecteur PDF dans KDE Plasma).<br /> Quant aux documents Office, LibreOffice les gère très proprement en regard de la documentation officielle des formats de fichiers fournis par Microsoft. D’ailleurs j’utilise régulièrement LibreOffice sous Windows et sous Linux pour rattraper par les cheveux des documents construits à la truelle que MS Office (2016 ou pro 3615) n’arrive même plus à ouvrir.
Messenger
Etant utilisateur quotidien de Debian… et attentif aux annonces de correctifs je ne serais pas si affirmatif que vous sur le sujet…
TNZ
Utilisateur de Debian et dérivés depuis plus de 10 ans, j’ai pris l’habitude de faire les mises à jour en automatique et de manière quotidienne.<br /> Un exemple, l’année dernière, le correctif de la faille du sudo était disponible 2 à 3 heures après l’annonce dans les dépôts Debian. Le même côté Red Hat est arrivé … 3 semaines plus tard. Entre ces 2 distribs, les enjeux industriels et le pilotage de projet ne sont pas comparables et probablement à l’origine de cette différence de temps de publication.
ld9474
Bonjour,<br /> ca sent le MS bashing primaire vos remarques quand même. Vous prenez un exemple sur Debian et vous généralisés. Je ne connais pas ce point en particulier mais personnellement une faille corrigée en 3 heures sur un OS ca fait un peu peur:<br /> Soit c’est une boulette de code bête et dans ce cas on se pose la question de la qualité du code et de l’outillage<br /> Soit c’est un peu plus méchant et je ne vois pas comment on règle un problème critique en 3 heures en s’assurant de la qualité encore une fois. Rien que l’usine devrait tourner quelques minutes avant de sortir le binaire.<br /> Autre chose, je sais que MS est le mal absolu pour certains, mais son emprise est aussi dû à Linux. Je sais que je rabâche mais quand fin 90 début 2000 les gens ont commencé à s’équiper en masse, beaucoup de Linuxiens se sont plainds de l’obligation d’acheter Windows avec le PC. C’était à mon sens un bataille tout à fait légitime.<br /> Néanmoins, je me mets à la place des distributeurs de PC: Mon client vient en magasin acheter un PC c’est pas pour passer plusieurs heures à installer un OS (si tant est que cet utilisateur a conscience que son PC tourne avec un OS). Quand à installer Linux au lieu de Windows ca aurait été le massacre. Linux c’est super sur un serveur mais franchement c’est pas User friendly pour deux sous ! L’hégémonie de Windows (avec bien sur le côté marketing) vient aussi de l’incapacité de l’Open Source à faire des logiciels grands publics et agréable. 2 exemples rapides:<br /> Libre Office (j’ai l’impression d’avoir pris une De Lorean) et Gimp. Ces deux outils sont franchement très efficaces mais pas du tout agréables. Quand j’ai commencé à dev, une personne m’a dit: Ton soft ca peut être une tuerie technique si son UI n’est pas agréable, personne l’utilisera. Je pense qu’il n’avait vraiement pas tord.<br /> Enfin, pour les formats fermés de Microsoft:<br /> Office prend en charge nativement OpenXML et il est possible de définir ce format comme format de travail par défaut. Le format XML office est quand à lui ouvert avec des spécifications publiques ce qui permet entre autres de faire des composants serveurs pour générer des documents office à partir d’applications<br /> Depuis plusieurs années et l’arrivée de Satya Nadela à la tête de l’entreprise, MS n’est plus focusé sur ces produits mais intègre de plus en plus d’éléments Open Source ou dits comme tels. On a le WSL dans windows par exemple. Le Framework .Net qui est LE framework de developpement quand on veut faire du client lourd (web aussi mais il existe d’autres outils) est Open Source : GitHub - dotnet/core: Home repository for .NET Core<br /> Bref, il y a beaucoup d’à priori je trouve dans vos commentaires. Vous utilisez Debian et si cela vous convient tant mieux. Moi je prefère Windows pour des raisons qui me sont propres. Au final un utilise un PC et globalement on fait la même chose avec.<br /> J’ajouterai enfin que qualifier les developpeurs et architectes de MS de tocards relève d’une méconnaissance complète de niveau technologique de cette entreprise ! Je vous invite à passer un entretien d’embauche chez eux et vous nous ferez un compte rendu
ld9474
La première faille de sécurité c’est l’utilisateur. Je propose de le supprimer comme ca il n’y a plus de problèmes
TNZ
Les temps de corrections de failles est surtout un temps d’analyse … pondéré par des réunions sans fin, des études de manque à gagner à faire bosser les devs sur un truc qui ne va pas rapporter et qui pourrait déstabiliser le djinga technique du produit complètement défiguré par des contraintes commercialo-mercantile avec de la gestion de licences à tous les coins de couloir. En gros, le souci, ce n’est pas les devs mais tous ceux derrière qui y voient une perte financière.<br /> LibreOffice aujourd’hui à une interface équivalente à la précédente de MS Office. D’ailleurs, il y avait eu un tollé quand les bandeaux sont arrivés.<br /> MS Office et l’OpenXML … Microsoft a encore fait du Microsoft. Prend un document OpenXML fabriqué sous MS Office et ouvre le sous LibreOffice, et après fait l’inverse. Tu verras laquelle des suites bureautique fait d’la daube.<br /> Quant au .NET, c’est pas dur d’être le « meilleur » quand il n’y a pas de concurrence. J’ai fait le dev Win32/MFC et c’était un bordel sans nom. Le framework .NET a été créé pour repartir de zéro sur ce sujet. Un an après sa sortie, c’était le même bordel. Et même si on fait tous plus ou moins la même chose, suivant le produit choisi, on y met pas la même énergie : « les mauvais ouvriers ont les mauvais outils ».<br /> Les devs et les archis Microsoft ne sont pas des tocards, par contre, les tocards sont les donneurs d’ordre pilotés par les équipes marketing derrière. Ce ne sont pas les techniciens les fautifs, ce sont les petits soldats boursiers qui voient en Microsoft une machine à fabriquer du pognon au lieu d’une entreprise de logiciels à valeur ajoutée. Et je te dis tout ça en tant qu’ARC Azure et AWS. A ce sujet, effectivement Microsoft met le paquet sur la vitrine et le niveau d’exigence pour impressionner les nouveaux arrivants mais, une fois l’effet de la nouveauté passé, ben, je peux te dire qu’Azure à plusieurs années de retard sur AWS. Je t’invite à rechercher les REX de DSI sur Azure Stack. C’est criant.
ld9474
Sincèrement, je pense que vous êtes de mauvaise foi.<br /> TNZ:<br /> Les temps de corrections de failles est surtout un temps d’analyse<br /> Entièrement d’accord. Je vous laisse juge de ce que vous dites par la suite et que je ne partage pas. Ceci étant, une fois l’analyse effectuée, le correctif pensé, il faut faire les devs, éventuellement ajuster des tests automatisés (je pense que pour Windows il doit y en avoir quelques uns), faire tourner l’usine (qualité de code, passage des tests, génération des binaires etc…), préparer le livrable et enfin le distribuer. En 3 heures je ne vois pas comment vous faites.<br /> TNZ:<br /> Quant au .NET, c’est pas dur d’être le « meilleur » quand il n’y a pas de concurrence<br /> J’espère que c’est une blague ! Concurrent direct car techno similaire: Java !<br /> TNZ:<br /> Le framework .NET a été créé pour repartir de zéro sur ce sujet<br /> Pas tout à fait. .Net est né du conflit entre MS et Sun qui à l’époque faisait le framework Java. D’ailleurs il y a eu une version Java estampillée MS: J++. Je n’ai pas le détail mais en gros Sun ne voulait plus fournir la licence pour que MS fasse «&nbsp;son&nbsp;» Java, du coup ils ont fait .Net et par la même créé le langage C# qui est plus proche de Java que du C.<br /> TNZ:<br /> Un an après sa sortie, c’était le même bordel<br /> Après 20 ans d’utilisation je n’ai vraiment pas le même point de vue. J’ai d’ailleurs des amis qui font plus du Java et qui régulièrement me disent envier l’environnement de developpement que l’on a pour faire du C#. Visual Studio ca reste la Rolls des IDE quand même.<br /> TNZ:<br /> je peux te dire qu’Azure à plusieurs années de retard sur AWS<br /> Peut être je ne connais pas AWS, ce que je vois par contre ce sont des clients insatisfaits qui passent de l’un à l’autre (dans les deux sens), avec une critique principale: le prix.<br /> TNZ:<br /> Je t’invite à rechercher les REX de DSI sur Azure Stack<br /> Il ne faut pas tout confondre. Azure Stack c’est pour faire un cloud privé. Certes c’est issu des technos mises en oeuvre sur Azure mais ce n’est pas Azure. Et oui c’est un produit qui rencontre beaucoup de difficultés, je pensais d’ailleurs qu’il avait été abandonné.<br /> Mon but n’est pas de dire que ce que fait MS c’est bien et les autres c’est mal, mais simplement de rétablir un peu de vérité. Vous ne pouvez pas sans être vraiment de mauvaise foi ne pas reconnaitre que la politique MS a grandement changé ces dernières années et que les critiques ont été entendues. Edge est un exemple typique de cette nouvelle stratégie.<br /> Tout ca pour dire que je ne ferai pas trop confiance à un patch fait en 3 heures <br /> Bonne journée
TNZ
Ce n’est pas de la mauvaise foi (plus de l’ironie), mais plutôt 30 ans d’XP dans l’informatique.<br /> J’ai commencé à une époque où les informaticiens savaient comment un ordinateur fonctionne. Et les jeunes qui sortent de l’école aujourd’hui sont complètement déconnectés du matériel sous prétexte que les environnements de DEV (.NET et Java pour les principaux) n’ont pas à se préoccuper de l’aspect hardware. Sauf que quand un développement ne fonctionne pas, ils sont complètement perdus … et rejettent le problème dans le périmètre des exploitants. Ces derniers finissent souvent par répondre : «chez-moi-ça-marche c’est donc un problème logiciel (c’est pour les DEVs)». Et là, on part dans une partie de ping-pong interminable.<br /> Mais on va dire : « mon dieu, mais que fait le DEVOPS ? ». A ça, je dirais qu’il en faut un qui tienne la route, CàD un avec beaucoup d’XP en dev / intégration / exploitation. Et que trouve t’on à ce genre de poste ? Des jeunes sortis de l’école … avec des réflexes phobiques sur les bouton «OK» et «Suivant» tel qu’on leur a appris dans les formations à médaille en chocolat.<br /> M’est avis que toutes ces approches vont finir dans le mur. Ce n’est pas parce que la majorité fait une connerie que ce n’est plus une connerie.
ld9474
TNZ:<br /> Mais on va dire : « mon dieu, mais que fait le DEVOPS ? »<br /> c’est exactement ce que je me suis dit en lisant le premier paragraphe<br /> TNZ:<br /> A ça, je dirais qu’il en faut un qui tienne la route, CàD un avec beaucoup d’XP en dev / intégration / exploitation<br /> Faire une team c’est pas interdit <br /> TNZ:<br /> M’est avis que toutes ces approches vont finir dans le mur.<br /> Je ne pense pas:<br /> DevOps c’est relativement marketté (j’en faisais milieu 2000 mais ca portait pas ce nom)<br /> La qualité de production qu’amènent les outils DevOps est aujourd’hui indispensable<br /> La modularisation des applications fait aussi qu’on est obligé de s’outiller<br /> Pour travailler dans ce mode au quotidien, je peux vous dire que la sérénité à la livraison est incomparable. J’irai pas non plus dire qu’on livre le vendredi mais c’est hyper tranquilisant.<br />
duf666
Bon ben pour une fois… BSOD !<br /> Dés l’apparation du logo Acer, ça plante.<br /> Ça passe direct à la réparation mais n’y arrive jamais, 2 min, 5 min, 15 min… rien.<br /> Heureusement il y a Acronis.
TofVW
duf666:<br /> Dés l’apparation du logo Acer, ça plante.<br /> Ça, c’est normal.
Voir tous les messages sur le forum