Logo PG Software
mercredi, 14 avril 2021 14:06

Le Patch Tuesday d'avril 2021 de Microsoft corrige 108 vulnérabilités, incluant 5 zero-days

Écrit par  ManageEngine France
Évaluer cet élément
(0 Votes)
Encore un mois, encore un Patch Tuesday. Avec les menaces incessantes de cybersécurité engendrées par la pandémie, il est essentiel de comprendre l'importance des publications du Patch Tuesday et de trouver des moyens de déployer efficacement les nouvelles mises à jour sur les terminaux distants.

Pour ce Patch Tuesday, Microsoft a publié des correctifs pour 108 vulnérabilités, dont 19 sont classées comme critiques et 89 comme importantes. Outre ces vulnérabilités, Microsoft a également publié des correctifs pour quatre vulnérabilités zero-day divulguées publiquement et une vulnérabilité zero-day activement exploitée. En dehors de cette pléthore de vulnérabilités, six autres vulnérabilités de Chromium Edge ont été divulguées au début du mois.


Une série de mises à jour importantes

Microsoft a publié des mises à jour de sécurité pour les produits suivants :

  • Microsoft Windows
  • Microsoft Office
  • Bibliothèque de codecs Microsoft Windows
  • Visual Studio Code
  • Microsoft Edge sur Chromium
  • Microsoft Exchange Server
  • Composant graphique Microsoft

Les vulnérabilités zero-day du mois d'avril : 4 divulguées publiquement, 1 activement exploitée

Ce mois-ci, Microsoft a publié des correctifs pour les vulnérabilités zero-day ci-dessous :

  • CVE-2021-27091 : Vulnérabilité d'élévation de privilège du service RPC Endpoint Mapper - Divulgués publiquement.
  • CVE-2021-28312 : Vulnérabilité par déni de service de Windows NTFS - Divulgués publiquement
  • CVE-2021-28437 : Vulnérabilité de divulgation d'informations de l'installateur Windows - PolarBear - Divulgués publiquement
  • CVE-2021-28458 : Vulnérabilité d'élévation de privilège de la bibliothèque d'autorisation Azure ms-rest-node - Divulgués publiquement
  • CVE-2021-28310: Vulnérabilité d'élévation de privilège Win32k - Activement exploitée

Aperçu des mises à jour critiques de ce mois-ci 

Voici la liste des vulnérabilités critiques signalées dans le Patch Tuesday de ce mois-ci :

Product

CVE title

CVE ID

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

CVE-2021-28460

Microsoft Exchange Server

Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28480

Microsoft Exchange Server

Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28481

Microsoft Exchange Server

Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28482

Microsoft Exchange Server

Microsoft Exchange Server Remote Code Execution Vulnerability

CVE-2021-28483

Windows Media Player

Windows Media Video Decoder Remote Code Execution Vulnerability

CVE-2021-28315

Windows Media Player

Windows Media Video Decoder Remote Code Execution Vulnerability

CVE-2021-27095

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28336

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28335

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28334

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28338

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28337

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28333

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28329

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28330

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28332

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28331

Windows Remote Procedure Call Runtime

Remote Procedure Call Runtime Remote Code Execution Vulnerability

CVE-2021-28339


Mises à jour tierces publiées ce mois-ci


En même temps que le Patch Tuesday de ce mois-ci, Adobe a également publié des mises à jour de sécurité. Des mises à jour significatives ont également été publiées par Android, Apple, SAP et Cisco.

Inscrivez-vous à notre webinaire gratuit sur les mises à jour du Patch Tuesday (en anglais) pour obtenir une analyse complète des mises à jour de sécurité, non sécuritaires et tierces publiées dans ce Patch Tuesday.

Voici quelques bonnes pratiques pour la gestion des correctifs à distance que vous pouvez suivre dans votre entreprise :

  • Privilégiez les mises à jour de sécurité aux mises à jour non sécuritaires ou facultatives.
  • Téléchargez les correctifs directement sur les terminaux plutôt que de les enregistrer sur votre serveur et de les distribuer sur des sites distants.
  • Planifiez des tâches d'automatisation spécifiquement destinées à déployer les correctifs critiques pour des mises à jour en temps voulu.
  • Prévoyez de larges fenêtres de déploiement afin que les mises à jour critiques ne soient pas ratées en raison d'obstacles inévitables.
  • Permettez aux utilisateurs finaux de reporter les déploiements pour ne pas perturber leur productivité.
  • Assurez-vous que les machines qui relèvent de votre compétence n'utilisent pas de systèmes d'exploitation ou d'applications en fin de vie.
  • Veillez à utiliser un serveur passerelle sécurisé pour établir des connexions sûres entre vos terminaux distants.

Vous voulez savoir comment mettre facilement en œuvre ces bonnes pratiques à l'aide de Patch Manager Plus ou de Desktop Central ? Inscrivez-vous à notre webinaire gratuit ManageEngine Patch Tuesday et regardez nos experts les appliquer en temps réel. Vous aurez également un aperçu des incidents de cybersécurité les plus courants, et nos spécialistes produits seront disponibles pour répondre à toutes vos questions.

Happy patching!

Gokila Kumar, Product Marketer

Lu 391 fois Dernière modification le mercredi, 14 avril 2021 14:50

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.