Microsoft émet un avertissement urgent concernant une faille de sécurité active dans Windows Update
Avant même d'entrer dans le vif du sujet, si vous utilisez Windows, assurez-vous d'avoir les dernières mises à jour. Le « Patch Tuesday » d'hier a apporté des correctifs pour près de 80 bugs de sécurité différents sur presque tous les produits Microsoft, mais le véritable problème concerne un bug zero-day qui a maintenant été corrigé.
En fait, désolé, mais quatre failles zero-day. Si vous n'êtes pas au fait du jargon de la sécurité, une faille zero-day est une faille de sécurité qui est déjà activement exploitée lorsqu'elle est découverte. En effet, Microsoft a intégré des failles zero-day dans Office Publisher, Windows Mark of the Web, Windows Installer et Windows Update dans le correctif cumulatif de ce mois-ci. La faille la plus grave est sans doute la CVE-2024-43491, « Microsoft Windows Update Remote Code Execution Vulnerability », à laquelle on a attribué une gravité « Critique » et une note CVSS de 9,8 sur 10. Le bug n'affecte que Windows 10, mais il s'agit d'une attaque facile qui peut être effectuée sur Internet et qui donne à l'attaquant la possibilité d'exécuter du code sur la machine vulnérable sans authentification. C'est évidemment une mauvaise chose.
La faille semble en fait avoir été causée par Microsoft elle-même, car les vulnérabilités qui offraient la surface d’attaque avaient déjà été corrigées une fois, mais une mise à jour de sécurité publiée en mars a brisé les mesures d’atténuation de ces vulnérabilités. Comme nous l’avons noté, la faille ne concerne que Windows 10, mais les autres zero-days moins graves sont plus généraux et incluent Windows 11. En fin de compte, ce que vous devez savoir, c’est que Microsoft a corrigé tous ces problèmes. Téléchargez simplement les dernières mises à jour de sécurité (votre machine l’a probablement déjà fait pour vous) et vous pourrez dormir sur vos deux oreilles, en sachant qu’un nouveau cauchemar de cybersécurité surviendra la semaine prochaine.
HOTHARDWARE