Pourquoi est-ce important: « Patch Tuesday » est le terme non officiel utilisé par Microsoft pour la publication mensuelle de corrections de bugs de la société pour ses produits logiciels. Comme tous les deux mois depuis octobre 2003, Microsoft a corrigé de nombreuses failles en janvier 2023 qui pourraient apporter le chaos et les logiciels malveillants à Windows.

Après une version plus légère en décembre 2022, le Patch Tuesday de janvier 2023 revient à corriger une énorme quantité de failles de sécurité dans les logiciels Microsoft. Les nouvelles mises à jour sont les dernières conçues pour prendre en charge Windows 7 et Windows 8 à côté de Windows 10 et Windows 11, et elles fournissent des correctifs pour 98 vulnérabilités au total, y compris une faille zero-day potentiellement dangereuse.

Outre Windows, le Patch Tuesday de janvier 2023 liste des logiciels concernés, les fonctionnalités et les rôles incluent la plate-forme .NET Core, Azure, Microsoft Office, Exchange, Visual Studio Code, etc. Les composants Windows nécessitant des correctifs incluent BitLocker, le gestionnaire de démarrage du système d’exploitation, les services cryptographiques, le noyau, les composants du spouleur d’impression et bien plus encore.

Parmi les 98 vulnérabilités corrigées, onze ont été classées comme « critiques » : Microsoft les considère comme les bogues les plus dangereux, car ils pourraient être exploités pour permettre l’exécution de code à distance, contourner les fonctions de sécurité et élever les privilèges des utilisateurs jusqu’au niveau SYSTEM.

2023 01 11 image 4

Compte tenu du type de failles et des effets qu’elles pourraient avoir sur le système, Microsoft a classé les vulnérabilités comme suit : 39 vulnérabilités d’élévation de privilèges, 4 vulnérabilités de contournement des fonctionnalités de sécurité, 33 vulnérabilités d’exécution de code à distance, 10 vulnérabilités de divulgation d’informations, 10 vulnérabilités de déni de service. vulnérabilités et 2 vulnérabilités d’usurpation d’identité. Une liste complète de tous les bogues résolus et des avis connexes a été publiée par Bleeping Computer et est disponible ici.

La seule faille zero-day du mois, qui a été découverte par les chercheurs d’Avast et qui était déjà exploitée par des pirates et des cybercriminels « dans la nature », est la vulnérabilité d’élévation de privilèges de l’appel de procédure locale avancée Windows (ALPC). Aussi connu sous le nom CVE-2023-21674, la faille pourrait entraîner une fuite du bac à sable du navigateur. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d’accès SYSTEM, explique Microsoft. Une autre faille dans Windows SMB (CVE-2023-21549) a été révélée publiquement mais pas encore exploitée.

Comme d’habitude, les mises à jour de sécurité Windows pour janvier 2023 sont déjà distribuées via le service officiel Windows Update, les systèmes de gestion des mises à jour tels que WSUS et sous forme de téléchargements directs à partir du catalogue Microsoft Update. Parmi les autres sociétés qui publient leurs mises à jour de sécurité en synchronisation avec le Patch Tuesday de Microsoft, citons Adobe, Cisco, Citrix, Fortinet, Intel, SAP et Synology.