De multiples vulnérabilités ont été découvertes dans Mozilla Firefox et Firefox ESR. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

• Firefox, versions antérieures à 96
• Firefox ESR versions antérieures à 91.5

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-020/

De multiples vulnérabilités ont été découvertes dans Thunderbird. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

• Thunderbird versions antérieures à 91.5

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-021/

De multiples vulnérabilités ont été corrigées dans Microsoft Office. Elles permettent à un attaquant de provoquer une exécution de code à distance.

• Microsoft Excel 2013 RT Service Pack 1
• Microsoft Excel 2013 Service Pack 1 (éditions 32 bits)
• Microsoft Excel 2013 Service Pack 1 (éditions 64 bits)
• Microsoft Excel 2016 (édition 32 bits)
• Microsoft Excel 2016 (édition 64 bits)
• Microsoft Office 2013 RT Service Pack 1
• Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
• Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
• Microsoft Office 2016 (édition 32 bits)
• Microsoft Office 2016 (édition 64 bits)
• Microsoft Office 2019 pour Mac
• Microsoft Office 2019 pour éditions 32 bits
• Microsoft Office 2019 pour éditions 64 bits
• Microsoft Office LTSC 2021 pour éditions 32 bits
• Microsoft Office LTSC 2021 pour éditions 64 bits
• Microsoft Office LTSC pour Mac 2021
• Microsoft Office Online Server
• Microsoft Office Web Apps Server 2013 Service Pack 1
• Microsoft SharePoint Enterprise Server 2013 Service Pack 1
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Foundation 2013 Service Pack 1
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition
• Microsoft Word 2016 (édition 32 bits)
• Microsoft Word 2016 (édition 64 bits)
• SharePoint Server Subscription Edition Language Pack

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-026/

De multiples vulnérabilités ont été corrigées dans Microsoft Windows. Elles permettent à un attaquant de provoquer une élévation de privilèges, une exécution de code à distance, un déni de service, un contournement de la fonctionnalité de sécurité, une atteinte à la confidentialité des données et une usurpation d’identité.

• Remote Desktop client pour Windows Desktop
• Windows 10 Version 1607 pour systèmes 32 bits
• Windows 10 Version 1607 pour systèmes x64
• Windows 10 Version 1809 pour ARM64-based Systems
• Windows 10 Version 1809 pour systèmes 32 bits
• Windows 10 Version 1809 pour systèmes x64
• Windows 10 Version 1909 pour ARM64-based Systems
• Windows 10 Version 1909 pour systèmes 32 bits
• Windows 10 Version 1909 pour systèmes x64
• Windows 10 Version 20H2 pour ARM64-based Systems
• Windows 10 Version 20H2 pour systèmes 32 bits
• Windows 10 Version 20H2 pour systèmes x64
• Windows 10 Version 21H1 pour ARM64-based Systems
• Windows 10 Version 21H1 pour systèmes 32 bits
• Windows 10 Version 21H1 pour systèmes x64
• Windows 10 Version 21H2 pour ARM64-based Systems
• Windows 10 Version 21H2 pour systèmes 32 bits
• Windows 10 Version 21H2 pour systèmes x64
• Windows 10 pour systèmes 32 bits
• Windows 10 pour systèmes x64
• Windows 11 pour ARM64-based Systems
• Windows 11 pour systèmes x64
• Windows 7 pour systèmes 32 bits Service Pack 1
• Windows 7 pour systèmes x64 Service Pack 1
• Windows 8.1 pour systèmes 32 bits
• Windows 8.1 pour systèmes x64
• Windows RT 8.1
• Windows Server 2008 R2 pour systèmes x64 Service Pack 1
• Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
• Windows Server 2008 pour systèmes 32 bits Service Pack 2
• Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
• Windows Server 2008 pour systèmes x64 Service Pack 2
• Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server, version 20H2 (Server Core Installation)

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-027/

Une vulnérabilité a été corrigée dans Microsoft .Net. Elle permet à un attaquant de provoquer un déni de service.

• Microsoft .NET Framework 2.0 Service Pack 2
• Microsoft .NET Framework 3.5
• Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
• Microsoft .NET Framework 3.5 AND 4.7.2
• Microsoft .NET Framework 3.5 AND 4.8
• Microsoft .NET Framework 3.5.1
• Microsoft .NET Framework 4.5.2
• Microsoft .NET Framework 4.6
• Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2
• Microsoft .NET Framework 4.8

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-028/

De multiples vulnérabilités ont été corrigées dans les produits Microsoft. Elles permettent à un attaquant de provoquer une usurpation d’identité et une exécution de code à distance.

• Dynamics 365 Sales
• HEVC Video Extensions
• Microsoft 365 Apps pour Enterprise pour 64 bits Systems
• Microsoft 365 Apps pour Enterprise pour systèmes 32 bits
• Microsoft Dynamics 365 Customer Engagement V9.0
• Microsoft Exchange Server 2013 Cumulative Update 23
• Microsoft Exchange Server 2016 Cumulative Update 21
• Microsoft Exchange Server 2016 Cumulative Update 22
• Microsoft Exchange Server 2019 Cumulative Update 10
• Microsoft Exchange Server 2019 Cumulative Update 11

https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-029/

Microsoft Windows a publié le patch Tuesday du mois de janvier. Il s’agit  de correctifs concernant 126 vulnérabilités. Ce bulletin présente les vulnérabilités les plus critiques, ainsi qu’un regroupement des plus importantes par risques respectifs.

• https://www.cyberveille-sante.gouv.fr/cyberveille/2919-vulnerabilites-dans-microsoft-patch-tuesday-janvier-2022-2022-01-12

Adobe Releases Security Updates for Multiple Products

• https://www.cisa.gov/uscert/ncas/current-activity/2022/01/11/adobe-releases-security-updates-multiple-products

Le système d’exploitation Microsoft Windows propose un service de gestion des requêtes HTTP sous la forme d’un pilote en mode noyau appelé http.sys. Une vulnérabilité a été découverte dans ce pilote pour Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et l’éditeur considère qu’elle peut être exploitée dans le cadre d’attaques à propagation de type “ver informatique”.

Pour rappel, le pilote http.sys est notamment utilisé par Microsoft IIS, le service Windows Remote Management (WinRM) ainsi que le service SSDP. Il est donc présent sur les serveurs mais également sur les postes de travail. Par conséquent, le CERT-FR recommande de considérer que l’ensemble des machines utilisant une version de Windows affectée est vulnérable.

D’après Microsoft, les environnements Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables par défaut, sauf si la clé de registre suivante est configurée de cette manière :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters\
"EnableTrailerSupport"=dword:00000001

Toutes les autres versions de Windows listées dans la section Systèmes affectés sont vulnérables tant que le correctif n’a pas été appliqué.

• Windows 10 Version 1809 pour systèmes 32 bits
• Windows 10 Version 1809 pour systèmes ARM 64 bits
• Windows 10 Version 1809 pour systèmes x64
• Windows 10 Version 20H2 pour systèmes 32 bits
• Windows 10 Version 20H2 pour systèmes ARM 64 bits
• Windows 10 Version 20H2 pour systèmes x64
• Windows 10 Version 21H1 pour systèmes 32 bits
• Windows 10 Version 21H1 pour systèmes ARM 64 bits
• Windows 10 Version 21H1 pour systèmes x64
• Windows 10 Version 21H2 pour systèmes 32 bits
• Windows 10 Version 21H2 pour systèmes ARM 64 bits
• Windows 10 Version 21H2 pour systèmes x64
• Windows 11 pour systèmes ARM 64 bits
• Windows 11 pour systèmes x64
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server, version 20H2 (Server Core Installation)

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-023/

https://www.cyberveille-sante.gouv.fr/alertes/2921-vulnerabilite-critique-sur-windows-10-et-11-et-windows-server-2019-et-2022-2022-01-13