Dans le cadre du Patch Tuesday de juin (ou Update Tuesday), Microsoft corrige un total de 55 vulnérabilités de sécurité dans ses produits. Parmi celles-ci, trois sont critiques et de type exécution de code à distance. Microsoft ne mentionne toutefois pas de divulgation publique ou d'exploitation active.
Le niveau de dangerosité le plus élevé est pour la vulnérabilité CVE-2022-30136 qui concerne Windows Server 2012, Server 2012 R2, Server 2016 et Server 2019. " Cette vulnérabilité peut être exploitée sur le réseau en effectuant un appel non authentifié et spécialement conçu vers un service NFS (Network File System) afin de déclencher une exécution de code à distance ", écrit Microsoft.
Zero Day Initiative (Trend Micro) note que le bug est dans NFSv4.1, alors que le mois dernier un bug affectait seulement les versions NSFv2.0 et NSFv3.0. " Il n'est pas clair s'il s'agit d'une variante, d'un correctif qui a échoué ou d'un problème complètement nouveau. Quoi qu'il en soit, les entreprises utilisant NFS doivent tester et déployer ce correctif en priorité. "
Bizarrerie avec Follina
Microsoft corrige la vulnérabilité de sécurité CVE-2022-30190 alias Follina qui a fait l'objet d'une divulgation publique fin mai et pour laquelle des attaques actives ont été signalées. Toutefois, le patch n'est pas mentionné comme faisant partie du Patch Tuesday de juin.
" La mise à jour pour cette vulnérabilité se trouve dans les mises à jour cumulatives de Windows de juin 2022 ", indique toutefois Microsoft.
Rappelons que cette vulnérabilité Follina (exécution de code à distance) affecte Microsoft Windows Support Diagnostic Tool (MSDT ; Msdt.exe) qui sert d'outil de dépannage pour des bugs dans Windows. Elle existe quand MSDT est appelé à l'aide du protocole URL à partir d'une application comme Word.
