Microsoft corrige d’importantes vulnérabilités d’exécution de code à distance de gravité affectant plusieurs produits Office dans les mises à jour de sécurité Office de janvier 2021 publiées lors du patch mardi de ce mois.

Au total, ce mois-ci, la société a publié 26 mises à jour de sécurité et 5 mises à jour cumulatives pour 7 produits différents, corrigeant 11 vulnérabilités qui pourraient permettre aux attaquants d’élever des privilèges ou d’exécuter du code arbitraire à distance sur des systèmes exécutant des logiciels vulnérables.

Un problème de plantage distinct affectant la version Microsoft 365 Apps d’Excel lors de l’utilisation de certains paramètres de protection contre les exploits de sécurité Windows a également été corrigé cette semaine.

Microsoft a également publié la semaine dernière des mises à jour non liées à la sécurité de Microsoft Office pour résoudre les pannes Outlook récurrentes et d’autres problèmes affectant les éditions Windows Installer (MSI) des produits Office 2016.

La société a également publié mardi le correctif de janvier 2021, avec des correctifs pour un antivirus Microsoft Defender zero-day exploité dans la nature et 83 vulnérabilités de sécurité supplémentaires, dont dix sont jugées critiques.

Des mises à jour Windows non liées à la sécurité ont également été publiées mardi avec les mises à jour cumulatives Windows 10 KB4598229 et KB4598242.

Liste des vulnérabilités de sécurité d’Office corrigées

Les mises à jour de sécurité Office publiées dans le cadre du Patch Tuesday de janvier 2021 corrigent des bogues exposant les systèmes Windows exécutant des éditions Click to Run et Microsoft Installer (.msi) vulnérables des produits Microsoft Office à des attaques d’exécution de code à distance (RCE).

Microsoft a évalué les six bogues RCE corrigés ce mois-ci comme étant des problèmes de gravité importants, car ils pourraient permettre aux attaquants d’exécuter du code arbitraire dans le contexte de l’utilisateur actuellement connecté.

Après une exploitation réussie, les attaquants pourraient installer des programmes malveillants, afficher, modifier et supprimer des données, ainsi que créer leurs propres comptes d’administrateur sur des appareils Windows compromis.