Une liste des mises à jour importantes publiées
Les mises à jour de sécurité de Microsoft ont été publiées pour :
-
Microsoft Windows
-
Microsoft Edge (EdgeHTML-based)
-
Microsoft Edge (Chromium-based)
-
ChakraCore
-
Internet Explorer
-
Microsoft Office and Microsoft Office services et Web Apps
-
Windows Defender
-
Visual Studio
-
Microsoft Dynamics
-
NET Framework
-
NET Core
-
Power BI
Mises à jour importantes
Trois vulnérabilités critiques de Microsoft Edge qui pourraient potentiellement permettre l'exécution de code à distance ont été corrigées dans ce Patch Tuesday.
- CVE-2020-1056 - Vulnérabilité d'élévation des privilèges dans Microsoft Edge
- CVE-2020-1059 - Vulnérabilité d'usurpation d'identité dans Microsoft Edge
- CVE-2020-1096 - Vulnérabilité d'exécution à distance de codes dans Microsoft Edge PDF
De plus, une autre vulnérabilité potentielle d'exécution de code à distance dans le module de gestion des couleurs de Microsoft (ICM32.dll) a été corrigée.
Les points clés de ce mois-ci
Vulnérabilités des composants graphiques de Windows
Au total, dix vulnérabilités critiques dans les composants graphiques de base de Windows qui pourraient conduire à des attaques locales par élévation de privilèges ont été corrigées. Cependant, pour exploiter ces vulnérabilités, il est nécessaire de disposer d'un accès permettant d'exécuter des codes dans la session graphique de Windows.
Les vulnérabilités sont énumérées ci-dessous :
- CVE-2020-1054
- CVE-2020-1143
- CVE-2020-0915
- CVE-2020-0916
- CVE-2020-0963
- CVE-2020-1141
- CVE-2020-1142
- CVE-2020-1145
- CVE-2020-1135
- CVE-2020-1153
Correction des vulnérabilités liées à la corruption de la mémoire dans les composants des navigateurs web
Des composants comme ChakraCore et le moteur JavaScript ont été affectés par de multiples vulnérabilités de corruption de la mémoire. En cas d'exploitation réussie, un pirate sera en mesure d'exécuter des codes arbitraires à distance. Vous trouverez ci-dessous une liste des vulnérabilités de cette catégorie :
- CVE-2020-1037
- CVE-2020-1056
- CVE-2020-1059
- CVE-2020-1096
- CVE-2020-1062
- CVE-2020-1092
- CVE-2020-1093
Vulnérabilités dans d'autres services Windows
Microsoft a publié des correctifs pour des vulnérabilités des services Windows tels que Connected User Experiences and Telemetry, Background Intelligent Transfer Service (BITS), Push Notification Services et Print and Document Services, entre autres. Vous trouverez la liste des CVE ID ci-dessous :
- CVE-2020-1084
- CVE-2020-1123
- CVE-2020-1137
- CVE-2020-1081
Autres informations importantes
-
Coïncidant avec le Patch Tuesday de ce mois, Adobe a corrigé 36 vulnérabilités, dont 16 failles critiques dans Acrobat, Reader, et son DNG Software Development Kit.
-
Le bulletin d'information concernant la pile de service a été mis à jour pour ce Patch Tuesday. Lisez le pour installer les dernières mises à jour de la pile de service disponibles.
Inscrivez-vous au webinaire gratuit de ManageEngine, en anglais, sur les mises à jour du Patch Tuesday pour obtenir une analyse complète des mises à jour de sécurité, non sécuritaires et autres mises à jour tierces publiées dans le cadre de ce Patch Tuesday.
Poursuivez votre lecture pour découvrir quelques bonnes pratiques parfaitement adaptées à un scénario de gestion des correctifs à distance :
-
Privilégiez les mises à jour de sécurité par rapport aux mises à jour non sécuritaires et facultatives.
-
Téléchargez directement les correctifs sur les terminaux, plutôt que de les télécharger sur votre serveur et de les distribuer à des sites distants.
-
Planifiez des tâches d'automatisation spécifiques au déploiement de correctifs critiques pour des mises à jour en temps voulu.
-
Prévoyez de définir des fenêtres de déploiement larges afin que les mises à jour critiques ne soient pas manquées en raison de problèmes inévitables.
-
Permettez aux utilisateurs finaux de pouvoir ignorer les déploiements afin d'éviter une perturbation de la productivité.
-
Veillez à ce que les machines qui relèvent de votre champ d'application n'exécutent aucun système d'exploitation ou application en fin de vie.
-
Testez toujours les mises à jour des correctifs avant de les déployer sur les terminaux.
-
Veillez à utiliser un serveur passerelle sécurisé pour établir une connexion sûre entre vos terminaux distants.
Faites-vous une idée de la manière dont vous pouvez mettre en œuvre ces bonnes pratiques en toute simplicité en utilisant Patch Manager Plus ou Desktop Central. Inscrivez-vous à notre webinaire gratuit consacré au Patch Tuesday et découvrez l'application de ces pratiques en temps réel. Vous pourrez également vous informer sur les tendances en matière d'incidents de cybersécurité et obtenir des éclaircissements sur toutes vos questions auprès de nos spécialistes produits.
Inscrivez-vous dès maintenant !
Bon déploiement de correctifs et soyez en sécurité !