Dans le contexte: “Patch Tuesday” était autrefois un terme non officiel utilisé pour désigner le déploiement de correctifs par certains des plus grands fabricants de logiciels au monde. Il a été officialisé par Microsoft en octobre 2003 et est désormais associé à des mises à jour de Redmond qui tombent le deuxième mardi du mois.
Le 13 décembre était le Patch Tuesday, et Microsoft en a profité pour éliminer de nombreux bogues dans Windows et dans d’autres “produits, fonctionnalités et rôles”.
La Mises à jour de sécurité de décembre 2022 La liste comprend des correctifs pour .NET Framework, Azure, le sous-système d’exécution client-serveur (CSRSS), Microsoft Office, les applications SysInternals, Microsoft Dynamics et bien sûr de nombreux composants trouvés dans différentes versions de Windows.
Le nombre de bugs corrigés avec le Patch Tuesday de décembre s’élève à 49, dont six sont classés comme “Critiques”, qui est le niveau de menace le plus élevé. Les failles comprennent 19 vulnérabilités d’élévation des privilèges, deux vulnérabilités de contournement des fonctionnalités de sécurité, 23 vulnérabilités d’exécution de code à distance, trois vulnérabilités de divulgation d’informations, trois vulnérabilités de déni de service et une vulnérabilité d’usurpation d’identité.
De plus, le dernier Patch Tuesday corrige deux failles de type zero day. Le jour zéro du mois activement exploité est la vulnérabilité de contournement de la fonctionnalité de sécurité Windows SmartScreen (CVE-2022-44698), qui pourrait être utilisé pour échapper aux défenses Mark of the Web (MOTW) (la boîte d’avertissement affichée par Defender SmartScreen lorsque l’utilisateur tente d’exécuter un exe inconnu téléchargé sur Internet) avec des fichiers JavaScript malveillants pour exécuter et installer des logiciels malveillants à partir de serveurs distants .
La vulnérabilité révélée publiquement par Microsoft était une vulnérabilité d’élévation des privilèges du noyau graphique DirectX (CVE-2022-44710), qui pourrait être exploitée par un acteur malveillant pour obtenir les privilèges SYSTEM après avoir remporté une condition de concurrence. Une liste complète de toutes les vulnérabilités et avis résolus a été publiée par Bleeping Computer et est disponible ici.
Les mises à jour de sécurité Windows pour le mois sont déjà disponibles via le service officiel Windows Update, les systèmes de gestion des mises à jour tels que WSUS et en téléchargement direct à partir du catalogue Microsoft Update. Parmi les autres entreprises qui publient leurs mises à jour de sécurité en synchronisation avec le Patch Tuesday de Microsoft, citons Cisco, Citrix, Fortinet, Google et SAP.