Le Patch Tuesday du mois de Décembre a corrigé 58 failles de sécurité seulement. Parmi celles-ci, 22 sont des vulnérabilités d’exécution de code à distance qui doivent être corrigées immédiatement. En effet, Microsoft a publié 58 correctifs de sécurité, pour plus d’une dizaine de produits et services, dans le cadre de sa mise à jour de sécurité du mois de Décembre, soit le « Patch Tuesday ». Ce mois a compté moins de correctifs comparés aux autres patchs envoyés chaque mois par Microsoft.

Plus d’un tiers des correctifs du mois de Décembre (soit un total de 22) sont classés comme étant des failles d’exécution de code à distance (RCE). Ce sont des failles de sécurité qui nécessitent une correction immédiate car plus faciles à exploiter, sans aucune interaction de l’utilisateur, que ça soit à travers internet ou encore via un réseau local.

Les RCE ont été repérés ce mois-ci dans des produits tels que Windows NTFS, Exchange Server, Microsoft Dynamics, Excel, PowerPoint, SharePoint, Visual Studio ainsi qu’Hyper-V. Les failles RCE les plus critiques, et les plus susceptibles d’être exploitées, sont celles ayant affectés Exchange Server référencées (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132, et CVE-2020-17142) et SharePoint (CVE-2020-17118 et CVE-2020-17121). Il est donc recommandé de commencer par patcher ces failles, car, de par leur nature, les systèmes Exchange et SharePoint sont souvent connectés à internet, soit ciblés plus facilement.

En plus des failles RCE corrigées ce mois-ci, on trouve une autre vulnérabilité importante dans Hyper-V, la technologie de virtualisation de Microsoft utilisée dans l’hébergement des machines virtuelles. Ce bug peut être exploité via un paquet SMB malveillant, et permettrai à des pirates à distance de compromettre des environnements virtualisés sandbox, ce qu’Hyper-V a été conçu pour éviter.

Le portail officiel de Microsoft, Security Update Guide, répertorie toutes les mises à jour de sécurité dans un tableau filtrable.