Mises à jour mensuelles de Microsoft (AL01/240515/CSIRT-ITA) – Mise à jour

Résumé

Microsoft a publié les mises à jour de sécurité mensuelles résolvant un total de 61 nouvelles vulnérabilités, y compris trois vulnérabilités 0-day.

Notes (mise à jour 07/06/2024) : une preuve de concept (PoC) pour l’exploitation de la vulnérabilité CVE-2024-30043 semble être disponible en ligne.

Notes : Le fournisseur indique que les vulnérabilités CVE-2024-30040 et CVE-2024-30051 sont activement exploitées sur le réseau.

Notes : Le fournisseur indique qu’un PoC pour l’exploitation des vulnérabilités CVE-2024-30046 et CVE-2024-30051 est disponible sur le réseau.

Risque

Estimation de l’impact de la vulnérabilité sur la communauté cible : Serious/RED (77.94/100)¹.

Type de vulnérabilité

• Information Disclosure
• Tampering
• Security Feature Bypass
• Remote Code Execution
• Elevation of Privilege
• Denial of Service
• Spoofing

Produits et versions concernés

• .NET and Visual Studio
• Azure Migrate
• Microsoft Bing
• Microsoft Brokering File System
• Microsoft Dynamics 365 Customer Insights
• Microsoft Edge (Chromium-based)
• Microsoft Intune
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft WDAC OLE DB provider for SQL
• Microsoft Windows SCSI Class System File
• Microsoft Windows Search Component
• Power BI
• Visual Studio
• Windows Cloud Files Mini Filter Driver
• Windows CNG Key Isolation Service
• Windows Common Log File System Driver
• Windows Cryptographic Services
• Windows Deployment Services
• Windows DHCP Server
• Windows DWM Core Library
• Windows Hyper-V
• Windows Kernel
• Windows Mark of the Web (MOTW)
• Windows Mobile Broadband
• Windows MSHTML Platform
• Windows NTFS
• Windows Remote Access Connection Manager
• Windows Routing and Remote Access Service (RRAS)
• Windows Task Scheduler
• Windows Win32K – GRFX
• Windows Win32K – ICOMP

Mesures d’atténuation

Conformément aux déclarations des fournisseurs, il est recommandé de mettre à jour les produits concernés par le biais de la fonction Windows Update.

Identifiants uniques de vulnérabilité

Références

https://msrc.microsoft.com/update-guide/releaseNote/2024-May

https://msrc.microsoft.com/update-guide (NB : filtre : patch tuesday – mai 2024)

¹Cette estimation est faite en tenant compte de plusieurs paramètres, y compris : CVSS, la disponibilité des correctifs, des solutions de contournement et des PoC, la prévalence des logiciels/appareils affectés dans la communauté concernée.