patch tuesday
Recherche sur les menaces

Patch Tuesday du mois de septembre : 59 CVE avec des correctifs pour presque tout le monde

Un mois très varié qui comprend quatre correctifs que vous avez peut-être déjà installés en août, ainsi qu'un élément présentant un intérêt particulier pour l'utilisateur final.

Microsoft vient de publier des correctifs pour 59 vulnérabilités, dont 5 problèmes de gravité ‘Critique’ dans Azure, .Net/Visual Studio et Windows. Le plus grand nombre de vulnérabilités corrigées concerne Windows, avec 21 CVE, mais exceptionnellement, ce volume représente moins de la moitié du nombre total de correctifs. Windows est suivi par Visual Studio, avec 3 correctifs propres et 5 autres partagés avec .NET. 3D Builder et Office suivent avec 7 correctifs chacun. .NET en possède 6 dont 5 qu’il partage avec Visual Studio. Exchange en possède 5, dont 4 qui ont été effectivement publiés en août (nous en reparlerons dans une seconde) ; Azure en a 4 ; Dynamics en a 3. Defender, Microsoft Identity Linux Broker et SharePoint complètent la série avec un correctif chacun. Il n’y a aucun avis Microsoft dans le Patch Tuesday de ce mois-ci.

Le Patch Tuesday de septembre comprend également des informations, publiées plus tôt ce mois-ci, sur un correctif pour Adobe Acrobat Reader et quatre failles de gravité ‘Élevée’ dans Edge/Chromium. L’entreprise propose également des informations sur deux correctifs supplémentaires provenant de sociétés extérieures (Autodesk, Electron) qui affectent respectivement 3D Viewer et Visual Studio.

Au moment de la sortie de ce Patch Tuesday, deux problèmes sont connus pour être exploités sur le terrain. CVE-2023-36761 est une vulnérabilité de divulgation d’informations de classe ‘Importante’ dans Word accessible via le volet de visualisation ; CVE-2023-36802 est une faille d’élévation de privilèges de classe ‘Importante‘ dans Windows (en particulier dans le composant Microsoft Streaming Service Proxy). Selon l’entreprise, 12 vulnérabilités supplémentaires dans Windows et Exchange sont plus susceptibles d’être exploitées dans les 30 prochains jours suivant la publication de ce Patch Tuesday.

Exchange est dans une situation particulièrement sensible ce mois-ci, puisque quatre des correctifs concernant des problèmes du Patch Tuesday de septembre ont en fait été publiés en août mais, pour une raison inconnue, n’ont pas été mentionnés à ce moment-là. Étant donné que les correctifs étaient en fait disponibles pour une utilisation hostile depuis un mois déjà, Microsoft considère qu’ils sont plus susceptibles d’être exploités à un moment donné. Trois d’entre eux peuvent conduire à l’exécution de code à distance, tandis qu’un autre peut entraîner la divulgation d’informations ; tous sont de classe ‘Importante’. Les administrateurs Exchange doivent veiller à donner la priorité à ces correctifs.

Au sujet des versions antérieures, nous rappelons aux lecteurs qu’il s’agit de l’avant-dernier mois pour les correctifs Windows Server 2012/2012 R2 ; la vénérable version du système d’exploitation atteint la fin du support en octobre, et Microsoft a publié des conseils sur ce que les clients pouvaient faire ensuite. Soulignons également pas moins de neuf CVE ce mois-ci applicables sur Server 2008. Il existe également un correctif Office de gravité ‘Modérée’ couvrant les versions 2013 RT SP1 et SP1 de ce produit, qui ont toutes deux atteint la fin du support en avril prochain.

Nous inclurons à la fin de cet article trois annexes répertoriant tous les correctifs Microsoft du mois, triés par gravité, exploitation potentielle et famille de produits. Conformément aux conseils de Microsoft, nous traiterons les correctifs et les avis pour Adobe Acrobat Reader, Autodesk, Chromium/Edge et Electron uniquement comme des informations dans les tableaux et chiffres globaux qui vont suivre, sans les inclure donc, bien que nous ayons ajouté un tableau à la fin de cet article qui fournit de informations basiques sur ces éléments.

Quelques chiffres

  • Nombre total de CVE Microsoft : 59
  • Nombre total d’avis Microsoft : 0
  • Nombre total d’avis externes contenus dans la mise à jour : 7
  • Divulgation(s) publique(s) : 2
  • Exploitation(s) : 2
  • Gravité :
    • Critique : 5
    • Importante : 53
    • Modérée : 1
  • Impact :
    • Exécution de code à distance : 21
    • Élévation de privilèges : 17
    • Divulgation d’informations : 10
    • Usurpation : 5
    • Déni de service : 3
    • Contournement des fonctionnalités de sécurité : 3

patch tuesday

 

Figure 1 : Les vulnérabilités d’exécution de code à distance sont à nouveau en tête de liste pour ce mois de septembre

Produits

  • Windows : 21
  • Visual Studio : 8 (dont cinq avec .NET ; n’inclut pas ceux à titre indicatif via Electron)
  • 3D Builder : 7
  • Office : 7
  • .NET : 6 (avec 5 correctifs partagés avec Visual Studio)
  • Exchange : 5 (dont quatre correctifs publiés en août 2023)
  • Azure : 4
  • Dynamics : 3
  • 3D Viewer : 1 (à titre indicatif, via Autodesk)
  • Defender : 1
  • Microsoft Identity Linux Broker : 1

patch tuesday

Figure 2 : Les correctifs de septembre par famille de produits ; notez que le correctif de 3D Viewer émis par Autodesk n’est pas inclus dans ce graphique, bien qu’il soit inclus dans la liste des produits ci-dessus. Pour les éléments qui s’appliquent à plusieurs familles de produits (par exemple, les correctifs partagés par Visual Studio et .NET), le graphique représente les correctifs de chaque famille à laquelle ils s’appliquent, donnant ainsi l’impression que la charge de travail est légèrement plus lourde qu’elle ne le sera en pratique.

Mises à jour majeures du mois de septembre

En plus du contexte multi-CVE d’Exchange évoqué ci-dessus, quelques éléments sont intéressants à présenter.

CVE-2023-38146 : Vulnérabilité d’exécution de code à distance dans les Thèmes Windows

Les thèmes ne sont peut-être pas les premières fonctionnalités de Windows qui viennent à l’esprit lorsque l’on pense aux fonctionnalités de base du système, mais de nombreux utilisateurs finaux aiment toujours personnaliser leurs systèmes de cette manière. Cette vulnérabilité d’exécution de code à distance, que Microsoft considère comme ‘Importante’ tout en lui attribuant tout de même un score de base CVSS de 8,8 (‘Élevée’, juste en dessous de ‘Critique’), pourrait être déclenchée par un fichier .theme spécialement conçu. Il est intéressant de noter qu’un fichier de thème malveillant utilisant ce CVE aurait plus de chances de réussir si l’utilisateur le chargeait via une ressource externe (par exemple, via un SMB), plutôt qu’en le téléchargeant et l’exécutant localement. En pratique, cette condition signifie que les utilisateurs de type ‘particulier’ sont moins susceptibles d’être victimes d’une attaque réussie, mais ce n’est pas non plus impossible. Ce problème affecte uniquement Windows 11.

CVE-2023-36805 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows MSHTML Platform

Un élément étrange de classe ‘Importante’ avec une particularité pour ceux qui utilisent encore Windows Server 2012 R2 : les clients qui utilisent cette plateforme mais qui ingèrent ‘uniquement les mises à jour de sécurité (Security Only)’ trouveront le correctif pour ce CVE dans les mises à jour cumulatives IE (5030209).

CVE-2023-36762 : Vulnérabilité d’exécution de code à distance dans Microsoft Word

CVE-2023-36766 : Vulnérabilité de divulgation d’informations dans Microsoft Excel

CVE-2023-36767 : Vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Office

Toutes les trois sont des problèmes de classe ‘Importante’ ; ces trois éléments s’appliquent toutefois aux versions Windows et Mac des produits. CVE-2023-36767 affecte spécifiquement Outlook, et Microsoft souligne que même si le volet de prévisualisation des emails n’est pas un vecteur d’attaque, le volet de prévisualisation des pièces jointes par contre en est un.

Sept CVE de type ‘Vulnérabilité d’exécution de code à distance dans 3D Viewer’

Les sept correctifs relatifs à 3D Builder sont disponibles via Microsoft Store, tout comme le correctif AutoDesk (CVE-2022-41303) lié à 3D Viewer.

CVE-2023-38147 : Vulnérabilité d’exécution de code à distance dans Windows Miracast Wireless Display

Une vulnérabilité intéressante de classe ‘Importante’ avec un vecteur d’attaque inhabituel : en effet, l’attaquant doit être physiquement suffisamment proche du système cible pour envoyer et recevoir des transmissions radio. Une fois sur place, ils pourraient se projeter sur un système vulnérable via le même réseau sans fil sans authentification, si le système était configuré pour autoriser la “Projection sur ce PC” et marqué comme “Disponible partout“.

patch tuesday

Figure 3 : Aux deux tiers de l’année, les problèmes d’exécution de code à distance continuent d’être en tête de peloton.

Les protections de Sophos

CVE Sophos Intercept X / Endpoint IPS Sophos XGS Firewall
CVE-2023-26369* Exp/20113402-A
CVE-2023-36802 Exp/2336802-A
CVE-2023-38142 Exp/2338142-A
CVE-2023-38148 sid:2308811 sid:2308811
CVE-2023-38152 sid:2308802 sid:2308802

 

* Cette CVE est liée au correctif qui vient d’être publié par Adobe pour Acrobat Reader ; elle est détaillée à l’annexe D ci-dessous. Le numéro d’ID d’apparence inhabituelle provient d’une détection Sophos datant de 2011. 

Comme c’est le cas tous les mois, si vous ne voulez pas attendre que votre système installe lui-même les mises à jour, vous pouvez les télécharger manuellement à partir du site Web Windows Update Catalog. Lancez l’outil winver.exe pour connaître la version de Windows 10 ou 11 que vous utilisez, puis téléchargez le package de mise à jour cumulative pour l’architecture et le numéro de build correspondant à votre système.

Annexe A : Impact et gravité des vulnérabilités

Il s’agit d’une liste des correctifs du mois de septembre triés en fonction de l’impact, puis de la gravité. Chaque liste est ensuite organisée par CVE.

Exécution de code à distance (21 CVE)

Gravité ‘Critique’
CVE-2023-36792 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36793 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36796 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-38148 Vulnérabilité d’exécution de code à distance dans Internet Connection Sharing (ICS)
Gravité ‘Importante’
CVE-2023-33136 Vulnérabilité d’exécution de code à distance dans Azure DevOps Server
CVE-2023-36739 Vulnérabilité d’exécution de code à distance dans 3D Viewer
CVE-2023-36740 Vulnérabilité d’exécution de code à distance dans 3D Viewer
CVE-2023-36742 Vulnérabilité d’exécution de code à distance dans Visual Studio Code
CVE-2023-36744 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36745 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36756 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36760 Vulnérabilité d’exécution de code à distance dans 3D Viewer
CVE-2023-36762 Vulnérabilité d’exécution de code à distance dans Microsoft Word
CVE-2023-36770 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36771 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36772 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36773 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36788 Vulnérabilité d’exécution de code à distance dans.NET Framework
CVE-2023-36794 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-38146 Vulnérabilité d’exécution de code à distance dans les Thèmes Windows
CVE-2023-38147 Vulnérabilité d’exécution de code à distance dans Windows Miracast Wireless Display

Élévation de privilèges (17 CVE)

Gravité ‘Critique’
CVE-2023-29332 Vulnérabilité d’élévation de privilèges dans Microsoft Azure Kubernetes Service

 

Gravité ‘Importante’
CVE-2023-35355 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2023-36758 Vulnérabilité d’élévation de privilèges dans Visual Studio
CVE-2023-36759 Vulnérabilité d’élévation de privilèges dans Visual Studio
CVE-2023-36764 Vulnérabilité d’élévation de privilèges dans Microsoft SharePoint Server
CVE-2023-36765 Vulnérabilité d’élévation de privilèges dans Microsoft Office
CVE-2023-36802 Vulnérabilité d’élévation de privilèges dans Microsoft Streaming Service Proxy
CVE-2023-36804 Vulnérabilité d’élévation de privilèges dans Windows GDI
CVE-2023-38139 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38141 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38142 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38143 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-38144 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-38150 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38155 Vulnérabilité d’élévation de privilèges dans Azure DevOps Server et Team Foundation Server
CVE-2023-38156 Vulnérabilité d’élévation de privilèges dans Azure HDInsight Apache Ambari
CVE-2023-38161 Vulnérabilité d’élévation de privilèges dans Windows GDI

Divulgation d’informations (10 CVE)

Gravité ‘Importante’
CVE-2023-36736 Vulnérabilité de divulgation d’informations dans Microsoft Identity Linux Broker
CVE-2023-36761 Vulnérabilité de divulgation d’informations dans Microsoft Word
CVE-2023-36763 Vulnérabilité de divulgation d’informations dans Microsoft Outlook
CVE-2023-36766 Vulnérabilité de divulgation d’informations dans Microsoft Excel
CVE-2023-36777 Vulnérabilité de divulgation d’informations dans Microsoft Exchange Server
CVE-2023-36801 Vulnérabilité de divulgation d’informations dans DHCP Server Service
CVE-2023-36803 Vulnérabilité de divulgation d’informations dans Windows Kernel
CVE-2023-38140 Vulnérabilité de divulgation d’informations dans Windows Kernel
CVE-2023-38152 Vulnérabilité de divulgation d’informations dans DHCP Server Service
CVE-2023-38160 Vulnérabilité de divulgation d’informations dans Windows TCP/IP

Usurpation (5 CVE)

Gravité ‘Importante’
CVE-2023-36757 Vulnérabilité d’usurpation dans Microsoft Exchange Server
CVE-2023-36800 Vulnérabilité Cross-site Scripting dans Dynamics Finance and Operations
CVE-2023-36886 Vulnérabilité Cross-site Scripting dans Microsoft Dynamics 365 (on-premises)
CVE-2023-38164 Vulnérabilité Cross-site Scripting dans Microsoft Dynamics 365 (on-premises)

 

Gravité ‘Modérée’
CVE-2023-41764 Vulnérabilité d’usurpation dans Microsoft Office

Déni de service (3 CVE)

Gravité ‘Importante’
CVE-2023-36799 Vulnérabilité de déni de service dans .NET Core et Visual Studio
CVE-2023-38149 Vulnérabilité de déni de service dans Windows TCP/ IP
CVE-2023-38162 Vulnérabilité de déni de service dans DHCP Server Service

Contournement des fonctionnalités de sécurité (3 CVE)

Gravité ‘Importante’
CVE-2023-36767 Vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Office
CVE-2023-36805 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows MSHTML Platform
CVE-2023-38163 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Defender Attack Surface Reduction

Annexe B : Exploitation potentielle

Il s’agit d’une liste des CVE du mois de septembre, établie par Microsoft, qui regroupe les vulnérabilités étant plus susceptibles d’être exploitées sur le terrain dans les 30 premiers jours suivant la publication du Patch Tuesday, ainsi que celles connues pour être déjà exploitées. Chaque liste est ensuite organisée par CVE.

Exploitation(s) détectée(s) : 
CVE-2023-36761 Vulnérabilité de divulgation d’informations dans Microsoft Word
CVE-2023-36802 Vulnérabilité d’élévation de privilèges dans Microsoft Streaming Service Proxy
Exploitation probable
CVE-2023-36744 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36745 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36756 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36777 Vulnérabilité de divulgation d’informations dans Microsoft Exchange Server
CVE-2023-36804 Vulnérabilité d’élévation de privilèges dans Windows GDI
CVE-2023-38142 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38143 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-38144 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-38148 Vulnérabilité d’exécution de code à distance dans Internet Connection Sharing (ICS)
CVE-2023-38152 Vulnérabilité de divulgation d’informations dans DHCP Server Service
CVE-2023-38160 Vulnérabilité de divulgation d’informations dans Windows TCP/IP
CVE-2023-38161 Vulnérabilité d’élévation de privilèges dans Windows GDI

Annexe C : Produits affectés

Il s’agit d’une liste des correctifs du mois de septembre triés par famille de produits, puis ensuite par gravité. Chaque liste est ensuite organisée par CVE.

Windows (21 CVE)

Gravité ‘Critique’
CVE-2023-38148 Vulnérabilité d’exécution de code à distance dans Internet Connection Sharing (ICS)
Gravité ‘Importante’
CVE-2023-35355 Vulnérabilité d’élévation de privilèges dans Windows Cloud Files Mini Filter Driver
CVE-2023-36801 Vulnérabilité de divulgation d’informations dans DHCP Server Service
CVE-2023-36802 Vulnérabilité d’élévation de privilèges dans Microsoft Streaming Service Proxy
CVE-2023-36803 Vulnérabilité de divulgation d’informations dans Windows Kernel
CVE-2023-36804 Vulnérabilité d’élévation de privilèges dans Windows GDI
CVE-2023-36805 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows MSHTML Platform
CVE-2023-38139 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38140 Vulnérabilité de divulgation d’informations dans Windows Kernel
CVE-2023-38141 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38142 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38143 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-38144 Vulnérabilité d’élévation de privilèges dans Windows Common Log File System Driver
CVE-2023-38146 Vulnérabilité d’exécution de code à distance dans les Thèmes Windows
CVE-2023-38147 Vulnérabilité d’exécution de code à distance dans Windows Miracast Wireless Display
CVE-2023-38149 Vulnérabilité de déni de service dans Windows TCP/ IP
CVE-2023-38150 Vulnérabilité d’élévation de privilèges dans Windows Kernel
CVE-2023-38152 Vulnérabilité de divulgation d’informations dans DHCP Server Service
CVE-2023-38160 Vulnérabilité de divulgation d’informations dans Windows TCP/IP
CVE-2023-38161 Vulnérabilité d’élévation de privilèges dans Windows GDI
CVE-2023-38162 Vulnérabilité de déni de service dans DHCP Server Service

Visual Studio (8 CVE, dont 5 partagées avec .NET)

Gravité ‘Critique’
CVE-2023-36792 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36793 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36796 Vulnérabilité d’exécution de code à distance dans Visual Studio
Gravité ‘Importante’
CVE-2023-36742 Vulnérabilité d’exécution de code à distance dans Visual Studio Code
CVE-2023-36758 Vulnérabilité d’élévation de privilèges dans Visual Studio
CVE-2023-36759 Vulnérabilité d’élévation de privilèges dans Visual Studio
CVE-2023-36794 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36799 Vulnérabilité de déni de service dans .NET Core et Visual Studio

3D Builder (7 CVE)

Gravité ‘Importante’
CVE-2023-36739 Vulnérabilité d’exécution de code à distance dans 3D Viewer
CVE-2023-36740 Vulnérabilité d’exécution de code à distance dans 3D Viewer
CVE-2023-36760 Vulnérabilité d’exécution de code à distance dans 3D Viewer
CVE-2023-36770 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36771 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36772 Vulnérabilité d’exécution de code à distance dans 3D Builder
CVE-2023-36773 Vulnérabilité d’exécution de code à distance dans 3D Builder

Office (7 CVE)

Gravité ‘Importante’
CVE-2023-36761 Vulnérabilité de divulgation d’informations dans Microsoft Word
CVE-2023-36762 Vulnérabilité d’exécution de code à distance dans Microsoft Word
CVE-2023-36763 Vulnérabilité de divulgation d’informations dans Microsoft Outlook
CVE-2023-36765 Vulnérabilité d’élévation de privilèges dans Microsoft Office
CVE-2023-36766 Vulnérabilité de divulgation d’informations dans Microsoft Excel
CVE-2023-36767 Vulnérabilité de contournement des fonctionnalités de sécurité dans Microsoft Office
 Gravité ‘Modérée’
CVE-2023-41764 Vulnérabilité d’usurpation dans Microsoft Office

.NET (6 CVE, dont 5 partagées avec Visual Studio)

Gravité ‘Critique’
CVE-2023-36792 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36793 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36796 Vulnérabilité d’exécution de code à distance dans Visual Studio
Gravité ‘Importante’
CVE-2023-36788 Vulnérabilité d’exécution de code à distance dans.NET Framework
CVE-2023-36794 Vulnérabilité d’exécution de code à distance dans Visual Studio
CVE-2023-36799 Vulnérabilité de déni de service dans .NET Core et Visual Studio

Exchange (5 CVE)

Gravité ‘Importante’
CVE-2023-36744 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36745 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36756 Vulnérabilité d’exécution de code à distance dans Microsoft Exchange Server
CVE-2023-36757 Vulnérabilité d’usurpation dans Microsoft Exchange Server
CVE-2023-36777 Vulnérabilité de divulgation d’informations dans Microsoft Exchange Server

Azure (4 CVE)

Gravité ‘Critique’
CVE-2023-29332 Vulnérabilité d’élévation de privilèges dans Microsoft Azure Kubernetes Service
Gravité ‘Importante’
CVE-2023-33136 Vulnérabilité d’exécution de code à distance dans Azure DevOps Server
CVE-2023-38155 Vulnérabilité d’élévation de privilèges dans Azure DevOps Server et Team Foundation Server
CVE-2023-38156 Vulnérabilité d’élévation de privilèges dans Azure HDInsight Apache Ambari

Dynamics 365 (3 CVE)

Gravité ‘Importante’
CVE-2023-36800 Vulnérabilité Cross-site Scripting dans Dynamics Finance and Operations
CVE-2023-36886 Vulnérabilité Cross-site Scripting dans Microsoft Dynamics 365 (on-premises)
CVE-2023-38164 Vulnérabilité Cross-site Scripting dans Microsoft Dynamics 365 (on-premises)

Defender (1 CVE)

Gravité ‘Importante’
CVE-2023-38163 Vulnérabilité de contournement des fonctionnalités de sécurité dans Windows Defender Attack Surface Reduction

Microsoft Identity Linux Broker (1 CVE)

Gravité ‘Importante’
CVE-2023-36736 Vulnérabilité de divulgation d’informations dans Microsoft Identity Linux Broker

SharePoint (1 CVE)

Gravité ‘Importante’
CVE-2023-36764 Vulnérabilité d’élévation de privilèges dans Microsoft SharePoint Server

Annexe D : Autres produits

Il s’agit d’une liste d’avis et de correctifs tiers couverts par les correctifs du mois de septembre de Microsoft, triés par groupe de produits.

Adobe Acrobat Reader (1 problème)

CVE-2023-26369 Out-of-bounds Write/Écriture hors limite  (CWE-787)

Autodesk (1 problème)

CVE-2022-41303 AutoDesk: Vulnérabilité ‘use-after-free’ CVE-2022-41303 dans Autodesk® FBX® SDK 2020 ou version antérieure

Chromium / Edge (4 problèmes)

CVE-2023-4761 Out of bounds memory access/Accès mémoire hors limite dans FedCM
CVE-2023-4762 Confusion de type dans V8
CVE-2023-4763 ‘Use after free’ dans Networks
CVE-2023-4764 Interface utilisateur (UI) de sécurité incorrecte dans BFCache

Electron (1 problème)

CVE-2023-39956 Electron : CVE-2023-39956 : Vulnérabilité d’exécution de code à distance dans Visual Studio Code

 

Billet inspiré de A 59-CVE Patch Tuesday with something for nearly everyone, sur le Blog Sophos.