Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tenable commente le Microsoft Patch Tuesday

janvier 2022 par Tenable

Les correctifs de janvier 2022 de Microsoft ont été publiés et sont accessibles ici.
La version Patch Tuesday de ce mois-ci comprend des correctifs pour 97 CVE, dont neuf sont jugées critiques, y compris quatre vulnérabilités de type "zero-day", qui ont été divulguées publiquement mais n’ont pas été exploitées dans la nature. Satnam Narang, ingénieur de recherche chez Tenable, a analysé les mises à jour et partage ses réflexions :

"Microsoft a corrigé CVE-2022-21907, une faille critique d’exécution de code à distance dans la pile de protocole HTTP. Pour exploiter cette vulnérabilité, un attaquant distant non authentifié pourrait envoyer une requête spécialement conçue à un serveur vulnérable utilisant la pile de protocole HTTP. Microsoft prévient que cette vulnérabilité est "vermifuge", ce qui signifie qu’aucune interaction humaine ne serait nécessaire pour qu’une attaque se propage de système en système. En tant que telles, les organisations qui utilisent la pile de protocole HTTP devraient accorder la priorité à la correction de cette vulnérabilité dès que possible.”

"De plus, Microsoft a corrigé trois vulnérabilités d’exécution de code à distance dans Microsoft Exchange Server (CVE-2022-21846, CVE-2022-21969, CVE-2022-21855). Toutes trois sont classées comme "exploitation plus probable". L’une des failles, CVE-2022-21846, a été divulguée à Microsoft par la National Security Agency. Malgré cet avertissement, Microsoft note que le vecteur d’attaque est adjacent, ce qui signifie que l’exploitation nécessitera plus de travail pour un attaquant, contrairement aux vulnérabilités ProxyLogon et ProxyShell qui étaient exploitables à distance."




Voir les articles précédents

    

Voir les articles suivants