Windows 11 : 58 failles de sécurité dont 5 critiques, mettez vite votre PC à jour

Microsoft a sorti le Patch Tuesday de novembre 2023, qui fixe 58 vulnérabilités touchant Windows, Office et ASP.NET Core. Cinq de ces vulnérabilités sont des failles zero-day qui ont été exploitées ou divulguées et qui représentent un risque élevé. Il faut faire les mises à jour sans tarder.

Patch Tuesday novembre 2023
Le patch Tuesday novembre 2023 est là

Microsoft vient de diffuser le Patch Tuesday de Novembre 2023, qui corrige 58 vulnérabilités. Ce bulletin de sécurité est plutôt modeste, mais il contient tout de même 5 failles de sécurité zero-day importantes qui ont été exploitées ou divulguées.

Parmi les 58 vulnérabilités, on trouve 14 failles d’exécution de code à distance (RCE), mais une seule est jugée critique par Microsoft. Les autres failles critiques concernent une fuite d’informations dans Azure, une faille RCE dans le partage de connexion Internet (ICS) de Windows, et une faille d’évasion de Hyper-V qui permet d’exécuter des programmes sur l’hôte avec les droits SYSTEM.

Les vulnérabilités sont réparties dans les catégories suivantes :

  • 16 vulnérabilités d’élévation de privilège
  • 6 vulnérabilités de contournement de fonctionnalité de sécurité
  • 15 vulnérabilités d’exécution de code à distance
  • 6 vulnérabilités de divulgation d’informations
  • 5 vulnérabilités de déni de service
  • 11 vulnérabilités d’usurpation d’identité

À lire : Windows 11 22H2 bientôt obsolète : Microsoft force les mises à jour

Patch Tuesday de novembre 2023 : Microsoft corrige 5 failles zero-day

Mais le plus important, c’est que Microsoft a corrigé 5 failles zero-day qui touchent (dans le désordre) Windows 11 23H2, Windows Server Office 2016, Office 2019, Office 2021, Visual Studio 2022 et ASP.NET Core. Ces failles permettent à des attaquants d’obtenir des privilèges SYSTEM, de contourner des fonctions de sécurité ou de provoquer des dénis de service.

Voici les 5 failles zero-day :

  • CVE-2023-36036 – Windows – Pilote “Cloud Files Mini Filter”
  • CVE-2023-36033 – Windows – Librairie “DWM Core”
  • CVE-2023-36025 – Windows – Bypass de la fonction SmartScreen
  • CVE-2023-36413 – Microsoft Office
  • CVE-2023-36038 – ASP.NET Core

Trois d’entre elles ont été exploitées dans des cyberattaques et quatre ont été divulguées publiquement. Autant vous dire qu’il est vivement recommandé de mettre à jour ses systèmes et ses applications le plus vite possible. Vous retrouverez la mise à jour KB5032189 pour Windows 10 22H2 et la KB5032190 pour Windows 11 22H2 et 23H2.