Microsoft a corrigé 60 vulnérabilités à l’occasion de la publication du Patch Tuesday de septembre 2021 ainsi que 26 CVE supplémentaires depuis le 1er septembre. Parmi les 60 vulnérabilités corrigées dans le Patch Tuesday de septembre, 3 sont classées comme critiques, 1 comme modérée et 56 comme importantes.

Vulnérabilités Microsoft critiques corrigées

CVE-2021-40444 – Vulnérabilité d’exécution de code à distance dans Microsoft MSHTML

Cette vulnérabilité a été divulguée publiquement et est exploitée. Elle autorise l’exécution de code à distance via MSHTML, un composant utilisé par Internet Explorer et Office. Microsoft a également publié une solution de contournement pour expliquer aux utilisateurs comment désactiver les contrôles ActiveX dans IE. L’éditeur lui a affecté un score de sévérité CVSSv3 de 8,8. Cette vulnérabilité doit être corrigée en priorité.

CVE-2021-26435 – Vulnérabilités de corruption de mémoire dans le moteur de script Windows

Microsoft a publié des correctifs pour résoudre une vulnérabilité RCE critique dans le moteur de script Windows. Avant de pouvoir exploiter cette vulnérabilité, l’attaquant doit convaincre l’utilisateur de cliquer sur un lien puis d’ouvrir un fichier malveillant. L’éditeur lui a affecté un score de sévérité CVSSv3 de 8,8. Cette vulnérabilité doit être corrigée en priorité.

CVE-2021-36965 – Vulnérabilité d’exécution de code à distance dans le service AutoConfig des réseaux sans fil (WLAN) de Windows

Cette vulnérabilité ne permet pas d’interaction avec l’utilisateur et est peu complexe à attaquer. L’éditeur lui a affecté un score de sévérité CVSSv3 de 8,8. Cette vulnérabilité doit être corrigée en priorité.

CVE-2021-38633, CVE-2021-36963 – Vulnérabilités avec élévation de privilèges dans le pilote du système de fichiers journaux Windows

Ces vulnérabilités permettent à un attaquant d’accéder à une élévation de privilèges pour procéder à des modifications sur le système ciblé. Ces CVE présentent un fort potentiel d’exploitabilité et le score de sévérité CVSSv3 attribué par l’éditeur est de 7,8. Ces vulnérabilités doivent être corrigées en priorité.

CVE-2021-38671 – Vulnérabilité avec élévation de privilèges dans le spooler d’impression Windows

Cette vulnérabilité CVE a un fort potentiel d’exploitabilité et un score de sévérité CVSSv3 de 7,8 attribué par l’éditeur. Elle doit être corrigée en priorité.
Patch Tuesday Adobe – Septembre 2021

Le Patch Tuesday de ce mois-ci est l’occasion pour Adobe de corriger 61 vulnérabilités CVE affectant Adobe Acrobat et Reader, ColdFusion, Premiere Pro, Adobe InCopy, Adobe SVG-Native Viewer, InDesign, Framemaker, les applications de bureau Creative Cloud, Photoshop Elements, Premiere Elements, Digital Editions, Genuine Service, Photoshop, le kit XMP Toolit SDK et Experience Manager.

Les correctifs pour Adobe Acrobat et Reader, ColdFusion et Experience Manager sont de Priorité 2 tandis que les autres patches sont de Priorité 3.
Tableau de bord du Patch Tuesday

Les tableaux de bord Patch Tuesday les plus récents sont disponibles dans Dashboard Toolbox : 2021 Patch Tuesday Dashboard.

Série de webinaires : This Month in Vulnerabilities & Patches

Pour aider les clients à tirer parti de l’intégration sans heurt entre Qualys VMDR et le service Patch Management et réduire le temps moyen de remédiation des vulnérabilités critiques, l’équipe de chercheurs Qualys anime une série de webinaires mensuels intitulée This Month in Vulnerabilities and Patches.
Y sont évoquées certaines vulnérabilités majeures divulguées au cours du mois précédent et la manière de les corriger :
• Patch Tuesday Microsoft – Septembre 2021

Patch Tuesday Adobe – Septembre 2021 Rejoignez-nous en direct ou visionnez à la demande !

À propos du Patch Tuesday
Les ID Qualys relatifs au Patch Tuesday sont publiés sur la page dédiée aux Alertes de sécurité, généralement à la fin de journée où est publié le Patch Tuesday, suivis peu de temps après par les Tableaux de bord PT.