Vous êtes sur la page 1sur 1

Microsoft Patch Tuesday du mois de Novembre

Dans le cadre du patch Tuesday du mois de Novembre, Microsoft a publié des correctifs de sécurité
pour 55 vulnérabilités dans Windows, Azure, Visual Studio, Windows Hyper-V et Office, y compris des
corrections pour deux failles zero-day activement exploitées dans Excel et Exchange Server qui
pourraient être utilisées pour prendre le contrôle d'un système affecté.

Sur les 55 failles, 06 sont classées critiques et 49 sont classées importantes en termes de gravité,
quatre autres étant répertoriées comme connues du public au moment de la publication.

Les failles les plus critiques sont CVE-2021-42321 (score CVSS : 8,8) et CVE-2021-42292 (score CVSS :
7,8), représentent respectivement une faille d'exécution de code à distance post-authentification
dans Microsoft Exchange Server et une vulnérabilité de contournement de sécurité impactant
Microsoft Excel versions 2013-2021.

Quatre vulnérabilités publiquement divulguées, mais non exploitées, ont également été abordées :

 CVE-2021-43208 : Vulnérabilité d'exécution de code à distance de 3D Viewer (score CVSS :


7.8).
 CVE-2021-43209 : Vulnérabilité d'exécution de code à distance de 3D Viewer (score CVSS :
7.8).
 CVE-2021-38631 : Vulnérabilité de divulgation d'informations du protocole Windows Remote
Desktop (RDP) (score CVSS : 4.4).
 CVE-2021-41371 : Vulnérabilité de divulgation d'informations du protocole Windows Remote
Desktop (RDP) (score CVSS : 4.4).

Ce correctif résolu également CVE-2021-3711, une faille critique de dépassement de tampon dans la
fonction de décryptage SM2 d'OpenSSL qui pourrait être exploitée pour exécuter un code arbitraire
et provoquer un déni de service (DoS).

D'autres remèdes importants incluent des corrections pour de multiples failles d'exécution de code à
distance dans Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298),
Microsoft Virtual Machine Bus (CVE-2021-26443), Remote Desktop Client (CVE-2021-38666), et les
versions sur site de Microsoft Dynamics 365 (CVE-2021-42316).

Enfin, la mise à jour est complétée par des correctifs pour un certain nombre de vulnérabilités
d'élévation de privilèges affectant NTFS (CVE-2021-41367, CVE-2021-41370, CVE-2021-42283), le
noyau Windows (CVE-2021-42285), Visual Studio Code (CVE-2021-42322), Windows Desktop Bridge
(CVE-2021-36957) et le pilote de système de fichiers Fast FAT de Windows (CVE-2021-41377).

Vous aimerez peut-être aussi