Patch Tuesday du mois d’aout 2023, Microsoft corrige 74 failles de sécurité

A l’occasion du Patch Tuesday du mois d’aout 2023 Microsoft a corrigé un total de 74 failles de sécurité. Ce chiffre est imposant mais il est inférieur à celui du mois de juillet (132 vulnérabilités corrigées).

Parmi ces 74 problèmes six sont de gravité critique et nous avons une vulnérabilité Zero-Day (CVE-2023-38180) affectant .NET et Visual Studio. A noter que concernant CVE-2023-20593 il s’agit d’un problème de sécurité en dehors de l’écosystème logiciel de Microsoft. Il est lié à Zenbleed une faille détectée dans les puces AMD exploitant l’architecture Zen 2. Elle a nécessité un correctif de micro-code via une mise à jour du BIOS sur les ordinateurs concernés.

Microsoft apporte 30 solutions à des défaillances constatées dans son navigateur Edge basé sur le moteur Chromium. Il y a également une atténuation d’une faiblesse affectant les hyperviseurs s’exécutant sur les processeurs AMD Zen 3 et Zen 4. Les risques sont un déni de service à distance et une atteinte à la confidentialité des données.

De son côté ADV230003 fait référence à la faille CVE-2023-36884 permettant une exécution de code à distance dans Office et Windows HTML. Elle a été activement exploitée par des pirates. Concernant la faille Zero-Day CVE-2023-38180 affectant .NET et Visual Studio il est nécessaire d’appliquer les correctifs à Microsoft Visual Studio 2022, .NET 7.0, .NET 6.0 et ASP.NET Core 2.1.

Enfin Redmond colmate cinq failles d’escalade de privilèges dans le noyau Windows (CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 et CVE-2023-38154). Leur exploitation via un accès local à la machine permet d’obtenir des privilèges SYSTEM.

Source : gHacks