La dernière série de mises à jour de sécurité mensuelles de Microsoft a été publiée avec des correctifs pour 68 vulnérabilités couvrant son portefeuille de logiciels, y compris des correctifs pour six zero-day activement exploités.
Une faille activement exploitée dans les navigateurs basés sur Chromium a également été traitée séparément au début du mois. Elle a été colmatée par Google dans le cadre d’une mise à jour hors bande à la fin du mois dernier.
La liste des vulnérabilités activement exploitées, qui permettent l’élévation des privilèges et l’exécution de codes à distance, est la suivante : -.
CVE-2022-41091 est l’une des deux failles de sécurité de Windows Mark of the Web qui ont été révélées ces derniers mois.
Quatre autres vulnérabilités classées critiques dans le correctif de novembre méritent d’être signalées : des failles d’élévation des privilèges dans Windows Kerberos, Kerberos RC4-HMAC et Microsoft Exchange Server, ainsi qu’une faille de déni de service affectant Windows Hyper-V. La liste des correctifs pour les failles critiques est complétée par quatre vulnérabilités d’exécution de code à distance dans le protocole de tunnelage point à point, qui ont toutes un score CVSS de 8,1, et par une autre vulnérabilité affectant les langages de script Windows JScript9 et Chakra.
En plus de ces problèmes, la mise à jour du Patch Tuesday résout également un certain nombre de failles d’exécution de code à distance dans Microsoft Excel, Word, ODBC Driver, Office Graphics, SharePoint Server et Visual Studio, ainsi qu’un certain nombre de bogues d’élévation de privilèges dans Win32k, Overlay Filter et Group Policy.