Le correctif de sécurité Android est disponible pour les appareils Pixel de Google, qui ont leurs propres mises à jour spécifiques, et la gamme Galaxy de Samsung, y compris Samsung Galaxy Note 10, Galaxy S21 et Galaxy A73. Vous pouvez vérifier la mise à jour dans vos paramètres.
Microsoft Patch Tuesday
Microsoft a corrigé 98 problèmes de sécurité plutôt lourds lors de son premier patch mardi de l’année, y compris une vulnérabilité déjà exploitée : CVE-2023-21674 est une faille d’élévation des privilèges affectant l’appel de procédure locale avancée de Windows qui pourrait conduire à l’échappement du bac à sable du navigateur.
En exploitant le bogue, un adversaire pourrait obtenir des privilèges système, a écrit Microsoft, confirmant que la faille a été détectée dans des attaques réelles.
Une autre vulnérabilité d’élévation des privilèges dans l’interface utilisateur de Windows Credential Manager, CVE-2023-21726, est relativement facile à exploiter et ne nécessite aucune interaction de la part de l’utilisateur.
Le Patch Tuesday de janvier a également vu Microsoft corriger neuf vulnérabilités du noyau Windows, dont huit sont des problèmes d’élévation de privilèges et une vulnérabilité de divulgation d’informations.
MozillaFirefox
La société de logiciels Mozilla a publié d’importantes mises à jour pour son navigateur Firefox, dont les plus graves ont fait l’objet d’un avertissement de la part de la Cybersecurity and Infrastructure Security Agency (CISA) américaine.
Parmi les 11 failles corrigées dans Firefox 109, quatre sont classées comme ayant un impact élevé, dont CVE-2023-23597, un bogue logique dans l’allocation des processus qui pourrait permettre à des adversaires de lire des fichiers arbitraires. Pendant ce temps, Mozilla a déclaré que son équipe de sécurité avait trouvé des bogues de sécurité de la mémoire dans Firefox 108. “Certains de ces bogues ont montré des preuves de corruption de la mémoire et nous supposons qu’avec suffisamment d’efforts, certains auraient pu être exploités pour exécuter du code arbitraire”, écrit-il.
Un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d’un système affecté, a déclaré la CISA dans son avis. “CISA encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de Mozilla pour Firefox ESR 102.7 et Firefox 109 pour plus d’informations et à appliquer les mises à jour nécessaires.”
VMWare
Le fabricant de logiciels d’entreprise VMWare a publié un avis de sécurité détaillant quatre failles affectant son produit VMware vRealize Log Insight. Suivi comme CVE-2022-31706, le premier est une vulnérabilité de traversée de répertoire avec un score de base CVSSv3 de 9,8. En exploitant la faille, un acteur malveillant non authentifié pourrait injecter des fichiers dans le système d’exploitation d’une appliance impactée, entraînant un RCE, explique VMWare.
Pendant ce temps, une vulnérabilité RCE de contrôle d’accès cassé suivie comme CVE-2022-31704 a également un score de base CVCCv3 de 9,8. Il va sans dire que ceux qui sont touchés par ces vulnérabilités devraient corriger dès que possible.
Oracle
Le géant du logiciel Oracle a publié des correctifs pour 327 vulnérabilités de sécurité, dont 70 sont considérées comme ayant un impact critique. Fait inquiétant, 200 des problèmes corrigés en janvier peuvent être exploités par un attaquant distant non authentifié.
Oracle recommande aux utilisateurs de mettre à jour leurs systèmes dès que possible, avertissant qu’il a reçu des rapports de “tentatives d’exploitation malveillante de vulnérabilités pour lesquelles Oracle a déjà publié des correctifs de sécurité”.
Dans certains cas, il a été signalé que les attaquants avaient réussi parce que les clients ciblés n’avaient pas appliqué les correctifs Oracle disponibles, indique-t-il.
SÈVE
Le Patch Day de janvier de SAP a vu la publication de 12 notes de sécurité nouvelles et mises à jour. Avec un score CVSS de 9,0, CVE-2023-0014 est classé comme le bogue le plus grave par la société de sécurité Onapsis. La faille affecte la majorité de tous les clients SAP et son atténuation est un défi, déclare Onapsis.
La vulnérabilité de capture-relecture est un risque car elle pourrait permettre à des utilisateurs malveillants d’accéder à un système SAP. “La correction complète de la vulnérabilité comprend l’application d’un correctif de noyau, d’un correctif ABAP et d’une migration manuelle de toutes les destinations RFC et HTTP de confiance”, explique Onapsis.