Dans le cadre du patch Tuesday du mois de Novembre, Microsoft a publié des correctifs de sécurité pour 55 vulnérabilités dans Windows, Azure, Visual Studio, Windows Hyper-V et Office, y compris des corrections pour deux failles zero-day activement exploitées dans Excel et Exchange Server qui pourraient être utilisées pour prendre le contrôle d'un système affecté.

Sur les 55 failles, 06 sont classées critiques et 49 sont classées importantes en termes de gravité, quatre autres étant répertoriées comme connues du public au moment de la publication.

Les failles les plus critiques sont CVE-2021-42321 (score CVSS : 8,8) et CVE-2021-42292 (score CVSS : 7,8), représentent respectivement une faille d'exécution de code à distance post-authentification dans Microsoft Exchange Server et une vulnérabilité de contournement de sécurité impactant Microsoft Excel versions 2013-2021.

Quatre vulnérabilités publiquement divulguées, mais non exploitées, ont également été abordées :

• CVE-2021-43208 : Vulnérabilité d'exécution de code à distance de 3D Viewer (score CVSS : 7.8).
• CVE-2021-43209 : Vulnérabilité d'exécution de code à distance de 3D Viewer (score CVSS : 7.8).
• CVE-2021-38631 : Vulnérabilité de divulgation d'informations du protocole Windows Remote Desktop (RDP) (score CVSS : 4.4).
• CVE-2021-41371 : Vulnérabilité de divulgation d'informations du protocole Windows Remote Desktop (RDP) (score CVSS : 4.4).

Ce correctif résolu également CVE-2021-3711, une faille critique de dépassement de tampon dans la fonction de décryptage SM2 d'OpenSSL qui pourrait être exploitée pour exécuter un code arbitraire et provoquer un déni de service (DoS).

D'autres remèdes importants incluent des corrections pour de multiples failles d'exécution de code à distance dans Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), Remote Desktop Client (CVE-2021-38666), et les versions sur site de Microsoft Dynamics 365 (CVE-2021-42316).

Enfin, la mise à jour est complétée par des correctifs pour un certain nombre de vulnérabilités d'élévation de privilèges affectant NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283), le noyau Windows (CVE-2021-42285), Visual Studio Code (CVE-2021-42322), Windows Desktop Bridge (CVE-2021-36957) et le pilote de système de fichiers Fast FAT de Windows (CVE-2021-41377).