79 vulnérabilités, dont 4 failles zero-day activement exploitées, corrigées par le Patch Tuesday de septembre : mettez Windows à jour !

Comme tous les deuxièmes mardis du mois, Microsoft déploie son Patch Tuesday. Et comme tous les Patch Tuesday, celui de septembre vient colmater un nombre impressionnant de failles de sécurité. Entre autres corrections de bugs et petites améliorations.

Aujourd’hui, sur Windows 10 comme sur Windows 11, un petit tour du côté de Windows Update s’impose. Avec son Patch Tuesday de rentrée, Microsoft annonce corriger pas moins de 79 vulnérabilités. Parmi ces problèmes de sécurité, sept sont considérés comme critiques, et quatre relèvent de failles zero-day. L’heure n’est plus aux tergiversations, il est temps de mettre à jour votre système d’exploitation.

4 vulnérabilités zero-day, dont une divulguée depuis un mois

Encore une fois, c’est une liste de vulnérabilités longue comme le bras que Microsoft corrige avec son patch de sécurité mensuel. Sur Windows 10 et Windows 11, les mises à jour respectives KB5043064 et KB5043076 s’attaquent essentiellement à des bugs et brèches permettant d’exécuter du code à distance (23 failles) ou d’obtenir des élévations de privilèges (30 failles).

Au milieu de cet agglomérat de problèmes de sécurité, quatre vulnérabilités se détachent du lot. Ces failles zero-day activement exploitées portent toutes un identifiant CVE et obtiennent un score CVSS compris entre 5.5 et 9.8.

Dans le détail, la CVE-2024-38014 (niveau de gravité important) consiste en une vulnérabilité de type élévation de privilèges dans Windows Installer (obtention de privilèges SYSTEM), la CVE-2024-38226 (niveau de gravité important) permet de contourner le système de protection de Microsoft Publisher contre les macros Office intégrées dans les documents téléchargés, la CVE-2024-43491 (niveau de gravité critique) offre aux cyberattaquants la possibilité d’exécuter du code à distance dans Windows Update pour exploiter d’anciennes vulnérabilités affectant les composants facultatifs sur Windows 10.

La quatrième faille zero-day corrigée par le Patch Tuesday de septembre relève, quant à elle, d’un statut particulier puisqu’elle a déjà été divulguée publiquement le mois dernier. Estampillée CVE-2024-38217 (niveau de gravité important), cette vulnérabilité permet de contourner les systèmes de sécurité intégrés aux modules Smart App Control (fonction Windows 11 conçue pour empêcher l’exécution d’applications malveillantes, non approuvées ou potentiellement dangereuses) et MotW (Mark of the Web, fonction permettant de déterminer si un fichier provient d’Internet) pour autoriser l’exécution de programmes malveillants et l’ouverture de fichiers vérolés. D’après les observations de Joe Desimone, ingénieur chez Elastic Security Labs à l’origine de la découverte de cette faille, la vulnérabilité aurait été activement exploitée depuis 2018. Il était donc plus que temps de la corriger.

De légères améliorations et des failles connues passées sous silence

Outre la correction de ces 79 problèmes de sécurité, le Patch Tuesday de septembre corrige diverses instabilités et apporte quelques améliorations propres aux différentes versions de Windows.

De manière générale, les utilisateurs et utilisatrices voient arriver une fonctionnalité de partage simplifiée avec Android via l’application desktop Mobile Connect. Pour synchroniser smartphone et PC, il faudra aussi installer Lien avec Windows sur mobile. Côté optimisations, les graphiques de l’onglet Performances du Gestionnaire des tâches utilisent enfin le bon aplat de couleurs en mode sombre, tandis que le contrôle UAC invite désormais les utilisateurs et utilisatrices à saisir leurs données d’identification.

En revanche, nulle trace d’un patch permanent pour enfin résoudre les problèmes d’exécution Linux sur les systèmes dualboot. Aucune information non plus concernant la correction des failles CVE-2024-21302 et CVE-2024-38202 permettant à des pirates de mener des attaques par rétrogradation et ainsi de réactiver d’anciennes vulnérabilités sur Windows 10, Windows 11 et Windows Server.

Source :