Microsoft vient de publier son Patch Tuesday d'avril qui corrige plusieurs vulnérabilités critiques dans Windows 10. Parmi elles, on dénombre 4 failles zero-day dont trois sont activement exploitées par des hackers. Il urgence donc d'installer la dernière mise à jour.

Le fameux patch Tuesday de Microsoft pour le compte du mois d'avril vient d'être publié après celui du mois de mars qui corrigeait plusieurs vulnérabilités dont une faille importante affectant le protocole SMBv3. La nouvelle mise à jour quant à elle corrige pas moins de 113 failles, dont 4 failles zero-day qui mettent les PC Windows 10 à risque. La firme de Redmond a connaissance de l'exploitation active de trois d'entre elles dont l'une avait été dévoilée le mois dernier.

Cette dernière tire parti d’un bug de la bibliothèque Adobe Type Manager et permet d'exécuter du code malveillant à distance sur les PC Windows 10, 8 et 7. Portant la référence CVE-2020-1020, cette faille est exploitée « lorsque la bibliothèque Windows Adobe Type Manager ne gère pas correctement une police multimaître spécialement conçue – format PostScript Adobe Type 1 », expliquait Microsoft dans une note publiée fin mars.

Une deuxième faille d'exécution de code à distance nommée CVE-2020-0938 réside également dans la bibliothèque Adobe Type Manager et est exploitée lors de l'analyse d'une police OpenType malveillante.

Windows 10 : installez le dernier patch de sécurité de toute urgence

La troisième faille dont Microsoft a les preuves de l'exploitation active porte la référence CVE-2020-1027. Il s'agit d'un bug dans le noyau Windows qui concerne la manière dont le système gère les objets en mémoire. « Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait exécuter du code avec des privilèges élevés » explique Microsoft qui qualifie la faille d'importante.

Enfin, la quatrième faille zero-day (CVE-2020- 0968) affecte le moteur de script des versions 9 et 11 d'Internet Explorer. Il s'agit d'un bug de corruption de mémoire qui permet aux attaquants de compromettre à distance un PC ciblé. Il suffit d’inciter la victime à ouvrir un site web vérolé via le navigateur web. Microsoft n'a trouvé aucune évidence que cette faille a été exploitée par des pirates.

En ce qui concerne la première faille, Microsoft avait déjà présenté une astuce permettant de limiter les risques en attendant qu'un correctif soit trouvé. C'est désormais chose faite. La firme recommande d'installer la dernière mise à jour de toute urgence. En plus des 4 vulnérabilités zero-day présentées ci-dessus, le patch corrige 109 autres bugs, portant le total à 113 dont 17 failles critiques. Les 96 autres sont jugées importantes en termes de gravité.