Le patch Tuesday de Mars 2021 de Microsoft a corrigé 89 vulnérabilités

Le patch mardi de mars 2021 de Microsoft corrige 89 vulnérabilités


Mars 2021 Microsoft publie son traditionnel lot de mise à jour de sécurité mensuel.


Microsoft a publié 89 correctifs de sécurité, concernant notamment le navigateur Edge, et les logiciels d'Office et Azure. Ils corrigent des problèmes critiques, notamment des vecteurs pour l'exécution à distance de code arbitraire.

Le traditionnel patch mensuel de Microsoft contient plusieurs correctifs corrigeant des vulnérabilités dans des logiciels Azure, mais aussi des produits Office – notamment PowerPoint, Excel, SharePoint et Visio – ainsi que les navigateurs Edge et Internet Explorer.

Le patch comporte également sept correctifs hors bande pour le serveur Microsoft Exchange, publiés la semaine dernière, dont quatre concernent des zero-day.

Microsoft a également publié des mises à jour de sécurité pour des fonctionnalités et des services comme la bibliothèque de codecs Microsoft Windows, le centre d'administration Windows, DirectX, la recherche d'événements, le registre, Win32K et l'API d'accès à distance Windows. Au total, 14 d'entre elles sont qualifiées de critiques, et la majorité peuvent conduire à une exécution de code arbitraire. Les autres sont également jugées importantes.

Parmi les correctifs, on peut citer celui qui concerne la vulnérabilité CVE-2021-26411, une faille de corruption de la mémoire dans Internet Explorer activement exploitée. « Avec ce type d'exploit, l'attaquant dispose des mêmes autorisations sur le système d'exploitation que l'utilisateur qui visite le site web », explique Kevin Breen, directeur de la recherche sur les cybermenaces chez Immersive Labs. « Ainsi, si vous naviguez sur internet en tant qu'utilisateur standard, l'attaquant obtiendra un accès basique à vos fichiers et un accès limité au système d'exploitation, Mais si vous surfez en tant qu'administrateur, il aura un accès complet et illimité à vos fichiers et à votre système d'exploitation. 

Parmi les autres problèmes critiques, on peut citer les vulnérabilités CVE-2021-27074 et CVE-2021-27080, des bugs d'exécution de code non signé dans Azure Sphere, et CVE-2021-26897, une faille RCE critique dans le serveur DNS de Windows.Au total, la résolution de 15 CVE a été signalée dans le cadre de l'initiative Trend Micro Zero Day. Un ensemble distinct de correctifs a été publié pour la version Chromium du navigateur Edge la semaine dernière.

La publication de sécurité de Mars comprend des mises à jour de sécurité pour les logiciels suivants :

  • Virtualisation d’applications
  • Azure
  • Azure DevOps
  • Azure Sphere
  • Internet Explorer
  • Microsoft ActiveX
  • Microsoft Edge (Chromium-based)
  • Microsoft Exchange Server
  • Composant Microsoft Graphics
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Bibliothèque de codecs Microsoft Windows
  • Power BI
  • Rôle : Serveur DNS
  • Rôle : Hyper-V
  • Visual Studio
  • Visual Studio Code
  • Windows Admin Center
  • Agent d’exécution de conteneur Windows
  • Windows DirectX
  • Rapport d’erreurs Windows
  • Suivi d’événements pour Windows
  • Interface Extensible Firmware
  • Interface de Windows
  • Redirection de dossiers de Windows
  • Windows Installer
  • Windows Media
  • Filtre de superposition Windows
  • Composants du spouleur d’impression
  • Pilote de filtre du système de fichiers projeté Windows
  • Registre Windows
  • API Accès réseau à distance Windows
  • Contrôleur des espaces de stockage Windows
  • Assistant Mise à jour de Windows
  • Pile Windows Update
  • Hôte de périphérique UPnP de Windows
  • Service Profil utilisateur de Windows
  • Service WalletService Windows
  • Windows Win32K

Pour plus d'information :

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram



Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité