Le dernier Microsoft Patch Tuesday de 2020 regorgeait de correctifs de sécurité, mettant à jour les bogues affectant la plupart des produits Microsoft.
Bien que le Patch Tuesday de décembre 2020 n'ait peut-être pas été le plus important de l'année, il contenait neuf correctifs critiques, avec 58 corrections de bogues globales pour les utilisateurs.
Patch Tuesday fait référence au premier mardi de chaque mois lorsque Microsoft et d'autres grandes entreprises technologiques publient leurs correctifs de sécurité pour le mois. Les correctifs de sécurité vont des vulnérabilités critiques aux problèmes plus élémentaires.
Le dernier correctif de Microsoft mardi de 2020 contenait le deuxième moins de vulnérabilités de toute l'année. Cependant, il contenait également neuf vulnérabilités de sécurité critiques nécessitant une correction immédiate.
Les bogues du Patch Tuesday contiennent des correctifs pour Windows 10, Microsoft Edge, Microsoft Office, Exchange Server et divers produits Microsoft Azure.
Sur les neuf bogues jugés critiques, tous sauf un sont des vulnérabilités d'exécution de code à distance, affectant Microsoft Dynamics 365, Microsoft Exchange et Microsoft SharePoint. Le correctif final corrige une vulnérabilité critique de corruption de mémoire avec le moteur de script Chakra.
Tous les correctifs impliquant une vulnérabilité d'exécution de code à distance sont extrêmement importants à installer dès que possible. L'exécution de code à distance permet efficacement à un attaquant d'accéder à un ordinateur et d'y apporter des modifications à distance.
Étant donné que de nombreux produits Microsoft affectés par ces problèmes sont destinés aux entreprises, il est important de corriger les vulnérabilités. Cependant, rien n'indique que l'une de ces vulnérabilités critiques soit activement exploitée dans la nature au moment de la rédaction.
Il y a un manque surprenant de correctifs de sécurité liés au navigateur. Dustin Childs de Zero Day Initiative, une organisation qui recherche les vulnérabilités zero-day, écrit :
En regardant les mises à jour critiques restantes, une seule (étonnamment) a un impact sur le navigateur. Ce correctif corrige un bogue dans le compilateur JIT. En effectuant des actions en JavaScript, un attaquant peut déclencher une condition de corruption de la mémoire, qui conduit à l'exécution de code. Le manque de mises à jour du navigateur pourrait également être une décision consciente de Microsoft pour s'assurer qu'un mauvais patch pour un navigateur ne perturbe pas les achats en ligne pendant la période des fêtes.
Microsoft a publié 46 correctifs jugés importants aux côtés des correctifs de vulnérabilité critiques, avec trois correctifs jugés modérés.
Les correctifs importants incluent plusieurs vulnérabilités pour les programmes Microsoft Office, notamment des vulnérabilités d'exécution de code à distance pour Excel, PowerPoint et Outlook. Parmi les autres produits Microsoft recevant des correctifs de sécurité importants, citons SharePoint, Microsoft Exchange, Dynamics CRM, Visual Code Studio, le rapport d'erreurs Windows et divers produits Azure.
Le Patch Tuesday de décembre est toujours plus léger que les autres mois de l'année. Microsoft accorde un petit répit au nombre substantiel de correctifs de sécurité nécessitant une installation chaque mois.
Néanmoins, lorsque des correctifs de sécurité sont disponibles pour votre produit Microsoft, vous devez les installer dès que possible.
Microsoft a publié plus de 1 200 correctifs en 2020, soit bien plus que les 840 publiés en 2019. Et, au cas où vous vous poseriez la question, le premier Patch Tuesday de 2021 arrive le 12 janvier.
