Le patch Tuesday de Novembre 2020 de Microsoft permet de corriger 112 failles, dont 24 vulnérabilités d’exécution de code à distance (RCE).

En effet, Microsoft a publié son ensemble mensuel de correctifs de sécurité soit le Patch Tuesday du mois de novembre. La société a corrigé un total de 112 failles de sécurité sur une vaste gamme de produits, partant de Microsoft Edge jusqu’à Windows WalletService. Les systèmes ayant exécuté la mise à jour anniversaire de Windows 10 ont pu se protéger de deux exploits avant même que Microsoft ne publie les correctifs.

Les mise à jour de ce mois comprennent aussi un correctif pour une faille Windows zero-day ayant été exploitée dans la nature. Le correctif de la faille zero-day référencée CVE-2020-17087 a été divulgué par les équipes de sécurité de Google Project Zero et TAG en date du 30 Octobre.

Selon Google, la faille a été exploitée avec un Chrome Zero-Day afin de cibler les utilisateurs de Windows 7 et Windows 10. Les pirates utiliseraient le zero-day de Chrome dans le but d’exécuter du code malveillant dans Chrome, puis utiliseraient le zero-day de Windows afin d’échapper au bac à sable de sécurité Chrome et élever les privilèges du code pour attaquer le système d’exploitation sous-jacent. Aucun autre détail n’a été publié à propos de cette attaque.

De plus, 111 autres bugs ont nécessité une correction, incluant 24 failles menant à des attaques d’exécution de code à distance (RCE) dans des applications comme Excel, Microsoft Sharepoint, Microsoft Exchange Server. Bien qu’il est plus sure pour la plupart des utilisateurs d’installer rapidement les correctifs, mais il reste conseillé aux administrateurs système des grands réseaux de tester les correctifs avant un déploiement à grande échelle afin d’éviter toute faille ou changement risquant d’endommager les systèmes internes.

Vous trouverez sur le portail officiel du « guide des mises à jour de sécurité » de Microsoft plus de détails sur le Microsoft Patch Tuesday.