Accueil > Nouvelles Cyber > Novembre 2022 Correctifs du mardi du patch 6 Jours zéro exploités (CVE-2022-41128)
CYBER NOUVELLES

Novembre 2022 Correctifs du mardi du patch 6 Jours zéro exploités (CVE-2022-41128)

patch mardi clavier

Novembre 2022 Patch Tuesday: Ce qui a été corrigé?

Novembre 2022 Patch Tuesday est un fait, adressant un total de 68 les failles de sécurité. La version contient des correctifs pour un grand nombre de produits Microsoft, Y compris:

  • .NET Framework
  • Branche CPU AMD
  • bleu azur
  • Système d'exploitation en temps réel Azure
  • Linux Kernel
  • Microsoft Dynamics
  • Microsoft Exchange Server
  • Microsoft Component Graphics
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Serveur de stratégie réseau (NPS)
  • Logiciels open source
  • Rôle: Windows Hyper-V
  • SysInternes
  • Visual Studio
  • Appel de procédure locale avancée Windows
  • ALPC Windows
  • Pilote de filtre de liaison Windows
  • Windows BitLocker
  • Service d'isolation de clé Windows CNG
  • Interface utilisateur des appareils Windows
  • Média numérique Windows
  • Bibliothèque principale de Windows DWM
  • Allocation de fichiers extensible Windows
  • Client de préférence de stratégie de groupe Windows
  • Windows HTTP.sys
  • Windows Kerberos
  • Marque Windows du Web (MOTW)
  • Connexion réseau Windows
  • Traduction d'adresses réseau Windows (NAT)
  • Pilote ODBC pour Windows
  • Filtre de superposition Windows
  • Protocole de tunneling point à point Windows
  • Composants du spouleur d'impression Windows
  • Système de fichiers résilient Windows (RéFS)
  • Script Windows
  • Windows Win32K




Correction de six vulnérabilités Zero-Day (CVE-2022-41128)

Le Patch Tuesday de ce mois-ci contient également des correctifs pour un total de six jours zéro activement exploités, dont deux sont bien connus ProxyNotShell bogues:

  • CVE-2022-41040 également connu sous le nom de ProxyNotShell, rated 8.8 sur CVSS: Vulnérabilité d'élévation des privilèges de Microsoft Exchange Server
  • CVE-2022-41082 (l'autre problème ProxyNotShell) avec un indice de gravité de 8.8: Vulnérabilité d'élévation des privilèges de Microsoft Exchange Server
  • CVE-2022-41128 avec un indice de gravité de 8.8: Vulnérabilité d'exécution de code à distance dans les langages de script Windows
  • CVE-2022-41125 avec une cote CVSS de 7.8: Vulnérabilité d'élévation de privilèges du service d'isolation de clé Windows CNG
  • CVE-2022-41073 avec un score CVSS de 7.8: Vulnérabilité d'élévation des privilèges du spouleur d'impression Windows
  • CVE-2022-41091 avec un score CVSS de 5.4): Marque Windows de la vulnérabilité de contournement de la fonctionnalité de sécurité Web

Qu'est-ce qu'une vulnérabilité zero-day?

Dit en gros, une zero-day est un exploit inconnu dans la nature exploitant une vulnérabilité logicielle ou matérielle. La faille peut créer diverses complications avant que quiconque ne se rende compte que quelque chose ne va pas, ce qui en fait le "jour zéro". Plus précisement, une vulnérabilité zero-day est un bogue logiciel que les cybercriminels découvrent avant que le fournisseur ne prenne connaissance du problème. Comme le fournisseur du logiciel n'en a pas connaissance, il n'y a pas de patch existant, rendre les attaques hautement possibles.

12 des vulnérabilités corrigées ont été classées comme critiques, deux – haute, et l'autre 55 les défauts sont importants. Une autre vulnérabilité notable est CVE-2022-3723 – un problème de confusion de type dans le moteur JavaScript V8 de Google Chrome signalé par Jan Vojtěšek, Milanek, et Przemek Gmerek d'Avast plus tôt cette année. Google a résolu le problème dans un correctif hors bande en octobre.

“Clients exécutant Windows 7, Windows Server 2008 R2, ou Windows Server 2008 devez acheter la mise à jour de sécurité étendue pour continuer à recevoir les mises à jour de sécurité,” Microsoft a ajouté dans le consultatif officiel.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord