Le patch Tuesday d'avril 2024 de Microsoft a corrigé 150 failles de sécurité, dont 67 vulnérabilités et 2 failles zero-day.
Après les correctifs apportés en mars, le très attendu patch Tuesday d'avril 2024 de Microsoft a corrigé pas moins de 150 vulnérabilités. 67 d'entre elles concernaient des vulnérabilités d'exécution de code à distance (RCE) particulièrement préoccupantes.
Deux failles de Windows 11 plutôt critiques ont également été corrigées. L'une d'elles, la CVE-2024-26234, est considérée par Microsoft comme une vulnérabilité de spoofing de pilote proxy de gravité importante. De plus, le rapport a publié des correctifs pour 26 contournements de démarrage sécurisé.
Les vulnérabilités corrigées dans le détail, dont 3 critiques
Les vulnérabilités corrigées couvrent un large éventail de problèmes de sécurité. Plus de la moitié des failles RCE se trouvaient dans les pilotes Microsoft SQL malgré des corrections apportées avec le patch Tuesday de février 2024, ce qui suggère qu'une faille commune pourrait être à l'origine de ces problèmes. En outre, 3 vulnérabilités critiques ont été corrigées, bien que le nombre total de bugs d'exécution de code à distance soit supérieur, avec plus de 67 bugs identifiés.
Parmi les autres vulnérabilités corrigées, on compte 31 vulnérabilités d'élévation de privilèges, 29 vulnérabilités de contournement des fonctionnalités de sécurité, 13 vulnérabilités de divulgation d'informations et 7 vulnérabilités de déni de service. De plus, des correctifs ont été publiés pour 26 contournements de démarrage sécurisé, dont deux de Lenovo.
Deux failles zero-day d'usurpation d'identité et de contournement de sécurité patchées
Deux vulnérabilités zero-day ont aussi été corrigées avec ce patch Tuesday. La première, CVE-2024-26234, est une vulnérabilité d'usurpation d'identité du pilote proxy. La seconde, CVE-2024-29988, est une vulnérabilité de contournement de la fonctionnalité de sécurité de l'invite SmartScreen. Ces vulnérabilités ont été utilisées dans diverses attaques, notamment par le groupe de piratage Water Hydra à des fins, on s'en doute, lucratives.
En plus des mises à jour de Microsoft, plusieurs autres fournisseurs ont publié des mises à jour de sécurité en avril 2024. Cisco a publié des mises à jour de sécurité pour plusieurs produits, Google a corrigé deux failles zero-day sur Google Pixel et une zero-day sur Google Chrome, et Ivanti a publié des mises à jour de sécurité pour corriger trois vulnérabilités de la passerelle VPN. De plus, de nouvelles failles LG WebOS ont été révélées et pourraient affecter plus de 90 000 téléviseurs intelligents exposés.
Source : Bleeping Computer
