Patch Tuesday – Septembre 2021 : 60 vulnérabilités Microsoft dont 3 critiques et 61 vulnérabilités chez Adobe

septembre 2021 par Animesh Jain, Directrice des produits Signatures des vulnérabilités chez Qualys

La crise sanitaire a permis aux employés de développer leur autonomie grâce au télétravail. L’utilisation de device et d’outils personnels a considérablement augmenté en raison des bouleversements organisationnels. La possibilité de pouvoir collaborer sur mobile ou tablette, en plus du desktop, ont renforcé les risques d’altération, de perte, de vol ou de suppression des données. Ce phénomène appelé shadow IT, présente de très grands risques pour la sécurité des contenus des entreprises concernées.

Microsoft a corrigé 60 vulnérabilités à l’occasion de la publication du Patch Tuesday de septembre 2021 ainsi que 26 CVE supplémentaires depuis le 1er septembre. Parmi les 60 vulnérabilités corrigées dans le Patch Tuesday de septembre, 3 sont classées comme critiques, 1 comme modérée et 56 comme importantes.

Vulnérabilités Microsoft critiques corrigées

CVE-2021-40444 – Vulnérabilité d’exécution de code à distance dans Microsoft MSHTML

Cette vulnérabilité a été divulguée publiquement et est exploitée. Elle autorise l’exécution de code à distance via MSHTML, un composant utilisé par Internet Explorer et Office. Microsoft a également publié une solution de contournement pour expliquer aux utilisateurs comment désactiver les contrôles ActiveX dans IE. L’éditeur lui a affecté un score de sévérité CVSSv3 de 8,8. Cette vulnérabilité doit être corrigée en priorité.

CVE-2021-26435 – Vulnérabilités de corruption de mémoire dans le moteur de script Windows

Microsoft a publié des correctifs pour résoudre une vulnérabilité RCE critique dans le moteur de script Windows. Avant de pouvoir exploiter cette vulnérabilité, l’attaquant doit convaincre l’utilisateur de cliquer sur un lien puis d’ouvrir un fichier malveillant. L’éditeur lui a affecté un score de sévérité CVSSv3 de 8,8. Cette vulnérabilité doit être corrigée en priorité.

CVE-2021-36965 – Vulnérabilité d’exécution de code à distance dans le service AutoConfig des réseaux sans fil (WLAN) de Windows

Cette vulnérabilité ne permet pas d’interaction avec l’utilisateur et est peu complexe à attaquer. L’éditeur lui a affecté un score de sévérité CVSSv3 de 8,8. Cette vulnérabilité doit être corrigée en priorité.

CVE-2021-38633, CVE-2021-36963 – Vulnérabilités avec élévation de privilèges dans le pilote du système de fichiers journaux Windows

Ces vulnérabilités permettent à un attaquant d’accéder à une élévation de privilèges pour procéder à des modifications sur le système ciblé. Ces CVE présentent un fort potentiel d’exploitabilité et le score de sévérité CVSSv3 attribué par l’éditeur est de 7,8. Ces vulnérabilités doivent être corrigées en priorité.

CVE-2021-38671 – Vulnérabilité avec élévation de privilèges dans le spooler d’impression Windows

Cette vulnérabilité CVE a un fort potentiel d’exploitabilité et un score de sévérité CVSSv3 de 7,8 attribué par l’éditeur. Elle doit être corrigée en priorité. Patch Tuesday Adobe – Septembre 2021

Le Patch Tuesday de ce mois-ci est l’occasion pour Adobe de corriger 61 vulnérabilités CVE affectant Adobe Acrobat et Reader, ColdFusion, Premiere Pro, Adobe InCopy, Adobe SVG-Native Viewer, InDesign, Framemaker, les applications de bureau Creative Cloud, Photoshop Elements, Premiere Elements, Digital Editions, Genuine Service, Photoshop, le kit XMP Toolit SDK et Experience Manager.

Les correctifs pour Adobe Acrobat et Reader, ColdFusion et Experience Manager sont de Priorité 2 tandis que les autres patches sont de Priorité 3. Tableau de bord du Patch Tuesday

Les tableaux de bord Patch Tuesday les plus récents sont disponibles dans Dashboard Toolbox : 2021 Patch Tuesday Dashboard.

Série de webinaires : This Month in Vulnerabilities & Patches

Pour aider les clients à tirer parti de l’intégration sans heurt entre Qualys VMDR et le service Patch Management et réduire le temps moyen de remédiation des vulnérabilités critiques, l’équipe de chercheurs Qualys anime une série de webinaires mensuels intitulée This Month in Vulnerabilities and Patches. Y sont évoquées certaines vulnérabilités majeures divulguées au cours du mois précédent et la manière de les corriger :

• Patch Tuesday Microsoft – Septembre 2021

Patch Tuesday Adobe – Septembre 2021 Rejoignez-nous en direct ou visionnez à la demande !

À propos du Patch Tuesday

Les ID Qualys relatifs au Patch Tuesday sont publiés sur la page dédiée aux Alertes de sécurité, généralement à la fin de journée où est publié le Patch Tuesday, suivis peu de temps après par les Tableaux de bord PT.