Microsoft corrige 78 vulnérabilités de sécurité. Des 0-day ?

Microsoft livre ses mises à jour de sécurité pour le mois de juin 2023. Diffusées depuis mardi soir (deuxième mardi du mois de juin), elles comprennent des correctifs pour un total de 78 vulnérabilités de sécurité affectant des produits du groupe de Redmond.

Parmi l’ensemble des failles à combler, six sont jugées critiques :

• • CVE-2023-24897 pour .NET et Visual Studio
  • CVE-2023-29357 pour Microsoft SharePoint Server
  • CVE-2023-32013 pour Windows Hyper-V
  • CVE-2023-29363, CVE-2023-32014 et CVE-2023-32015 pour Windows PGM

Le score de dangerosité le plus élevé (CVSSv3 9.8 sur un maximum de 10.0) concerne la vulnérabilité de type élévation de privilèges qui touche Microsoft SharePoint Server et les vulnérabilités de type exécution de code à distance dans Windows Pragmatic General Multicast.

Affectant Microsoft SharePoint Server 2019, Zero Day Initiative (Trend Micro) souligne que la vulnérabilité CVE-2023-29357 a été utilisée et signalée dans le cadre du concours de hacking Pwn2Own à Vancouver au mois de mars dernier.

Pour les vulnérabilités en rapport avec Windows PGM, elles concernent toutes les versions de Windows. Tenable précise des bugs de sécurité en lien avec l’implémentation du protocole de multidiffusion (multicast ; streaming vidéo par exemple) dans le composant du service de mise en file d’attente des messages de Windows. Un système est vulnérable si ce service est activé.