Dans son patch Tuesday de ce mois, Microsoft a corrigé 71 vulnérabilités y compris un correctif pour une vulnérabilité d'élévation de privilèges activement exploitée qui pourrait être utilisée en conjonction avec des bugs d'exécution de code à distance pour prendre le contrôle de systèmes vulnérables.

Deux des failles de sécurité corrigées sont jugées critiques, 68 sont jugées importantes et une est jugée de faible gravité. Trois de ces problèmes étaient connus du public au moment de la publication. Les quatre zero-day sont les suivants :

• CVE-2021-40449 (score CVSS : 7.8) : Vulnérabilité d'élévation de privilège de Win32k exploitée dans la nature ;
• CVE-2021-41335 (score CVSS : 7.8) : Vulnérabilité d'élévation de privilège du noyau Windows ;
• CVE-2021-40469 (score CVSS : 7.2) : Vulnérabilité d'exécution de code à distance du serveur DNS de Windows ;
• CVE-2021-41338 (score CVSS : 5,5) : Vulnérabilité de contournement de la fonction de sécurité des règles du pare-feu Windows AppContainer.

Parmi les autres problèmes de sécurité figurent des vulnérabilités d'exécution de code à distance affectant Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 et CVE-2021-40461), SharePoint Server (CVE-2021-40487 et CVE-2021-41344) et Microsoft Word (CVE-2021-40486), ainsi qu'une faille de divulgation d'informations dans Rich Text Edit Control (CVE-2021-40454).

De plus, le patch inclue des correctifs pour deux failles récemment découvertes dans le composant Print Spooler (CVE-2021-41332 et CVE-2021-36970) relatives à un bug de divulgation d'informations et une vulnérabilité d'usurpation, respectivement.

Pour remédier à ces vulnérabilités, nous incitons les utilisateurs et les administrateurs des systèmes Microsoft à appliquer ces correctifs.