Il aura fallu deux mois à Microsoft pour fournir un correctif de sécurité contre la faille jour zéro nommée Folina, et répertoriée sous les références CVE-2022-30190 et CERTFR-2022-ALE-005. Ce dernier est téléchargeable par Windows update depuis hier (Patch Tuesday), ainsi que d’autres correctifs portant sur 55 vulnérabilités.
Pourtant, Microsoft fut informé, en toute confidence, dès le 12 avril de la vulnérabilité, largement exploitée depuis par les criminels, en utilisant une fonctionnalité d’Office pour télécharger un fichier HTML pour faire exécuter du code arbitraire à distance via l’outil de diagnostique MSDT.
Avec Word, la vulnérabilité fonctionnait même si les macros étaient désactivées.
Il est recommandé d’installer sans délai ces mises à jour.
Les trois autres vulnérabilités critiques corrigées d’exécution de code arbitraire à distance concernent le système de fichier Windows NFS, l’hyperviseur Hyper-V ainsi que le protocole d’interrogation de services d’annuaires LDAP.