Parmi les vulnérabilités corrigées figure une faille zero-day. 19 vulnérabilités ont été classées comme critiques, les 88 autres comme sérieuses. Des patchs Adobe viennent également corriger Photoshop, Digital Editions et Bridge.
L’édition d’avril du Patch Tuesday de Microsoft a dépassé la barre des 100 "Common Vulnerabilities & Exposures" (CVE) corrigées, une première pour l’année 2021.
Ce ne sont pas moins de 108 CVE qui ont été corrigées par Microsoft dans sa dernière édition du Patch Tuesday, publiée le 13 avril sur le site de Microsoft Security Response Center. Sur les 108 failles corrigées, une correspondait à une 0-day exploitée, 19 ont été qualifiées de critiques et 88 classées comme sérieuses.
Failles sur Office, Adobe ou Win32k
La faille 0-day, appelée CVE-2021-28310 est une vulnérabilité avec élévation de privilèges dans Win32k. « La faille 0-day est une vulnérabilité de type écriture hors-limites (out of bounds - OOB) dans le fichier dwmcore.dll, qui fait partie du gestionnaire Desktop Window Manager (dwm.exe). Un exploit public est actuellement utilisé à l’aveugle, notamment par le groupe BITTER APT soupçonné d'exploiter cette vulnérabilité CVE », détaille dans son analyse le Lab Qualys, ajoutant qu’il était urgent de patcher.
Les autres vulnérabilités concernent certains produits dans MS Exchange Server ainsi que Microsoft Office. Concernant Adobe, plusieurs correctifs sont à appliquer à Photoshop, Digital Editions et Bridge.