Le géant de la technologie Microsoft a livré mardi des correctifs pour éliminer 64 nouvelles failles de sécurité dans sa gamme de logiciels, dont une faille zero-day qui a été activement exploitée dans des attaques réelles.
Ces correctifs s’ajoutent aux 16 vulnérabilités que Microsoft a corrigées dans son navigateur Edge basé sur Chromium au début du mois.
«Un attaquant doit déjà avoir accès au système cible et avoir la possibilité d’y exécuter du code. Cette technique ne permet pas l’exécution de code à distance dans les cas où l’attaquant n’a pas déjà cette capacité sur le système cible», a déclaré Microsoft dans un avis.
«Un attaquant non authentifié pourrait envoyer un paquet IP spécialement conçu à une machine cible fonctionnant sous Windows et dont l’IPSec est activé, ce qui pourrait permettre une exécution de code à distance», a déclaré Microsoft à propos des CVE-2022-34721 et CVE-2022-34722.
Microsoft a également résolu 15 failles d’exécution de code à distance dans Microsoft ODBC Driver, Microsoft OLE DB Provider for SQL Server et Microsoft SharePoint Server, ainsi que cinq bogues d’élévation de privilèges couvrant Windows Kerberos et Windows Kernel.
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs depuis le début du mois pour corriger des dizaines de vulnérabilités, dont -.