Cette semaine a marqué l'arrivée des mises à jour mensuelles programmées Microsoft Patch Tuesday pour le mois de juin 2023. Le lot de mises à jour corrige certaines vulnérabilités critiques, et un grand nombre de vulnérabilités de gravité importante. Ainsi, les utilisateurs doivent veiller à mettre à jour leurs systèmes au plus tôt (s'ils ne sont pas mis à jour automatiquement) pour recevoir toutes les corrections de bogues à temps.
Aperçu du mardi de correctifs Microsoft de juin 2023
Le lot de mises à jour du mardi des correctifs de juin a corrigé six différentes vulnérabilités de gravité critique dans différents composants de Microsoft.
Les plus graves (CVE-2023-29363, CVE-2023-32014 et CVE-2023-32015) affectaient la multidiffusion générale pragmatique (PGM) de Windows. Chacune de ces vulnérabilités a reçu un score CVSS de 9,8.
L'exploitation de ces failles pourrait permettre à un adversaire distant d'exécuter des codes malveillants en envoyant des fichiers spécialement conçus sur le réseau. Cependant, l'exploitabilité nécessite que le service de file d'attente des messages de Windows soit activé et fonctionne dans l'environnement du serveur PGM.
Une autre vulnérabilité grave, CVE-2023-29357 (CVSS 9.8), affecte le serveur Microsoft SharePoint. L'exploitation de la faille pourrait permettre à un attaquant d'obtenir les privilèges d'administrateur sans authentification préalable.
En outre, les deux autres vulnérabilités de gravité critique corrigées avec ce lot de mises à jour sont CVE-2023-24897 (CVSS 9.8) – une faille d'exécution de code à distance affectant .NET, .NET Framework et Visual Studio, et CVE-2023-32013 (CVSS 6.5) – une faille de déni de service dans Windows Hyper-V.
Parallèlement à ces six vulnérabilités critiques, Microsoft a corrigé 68 autres vulnérabilités avec le Patch Tuesday de juin. Celles-ci comprennent 9 vulnérabilités de déni de service, 16 failles d'escalade de privilèges, 5 problèmes de divulgation d'informations, 9 vulnérabilités conduisant à l'usurpation d'identité, 4 contournements de fonctions de sécurité et 22 vulnérabilités d'exécution de code à distance à travers différents composants.
Une vulnérabilité de gravité importante à noter comprend la CVE-2023-24896 affectant Microsoft Dynamics 365 (sur site). Microsoft l'a signalée comme une faille de script intersite qui permettait à un attaquant authentifié de voler des identifiants de connexion et d'autres informations sensibles via des popups malicieusement conçus liés à des pages web ou à des courriels.
Parallèlement à ces problèmes, ce lot de mises à jour inclut une correction de bogue de faible gravité pour CVE-2023-29345 – un contournement de la fonctionnalité de sécurité dans Microsoft Edge.
Alors que ces vulnérabilités atteindraient automatiquement les appareils éligibles, les utilisateurs devraient toujours vérifier manuellement toute mise à jour pour des corrections de bogues opportunes. Il est également conseillé d'activer les mises à jour automatiques sur tous les systèmes.
Fais-nous part de tes réflexions dans les commentaires.
