Microsoft - CVE-2022-41044 (Patch Tuesday)

Date de publication :

Une faille de type « condition de concurrence » dans le protocole de tunnel point-à-point (PPTP) permet à un attaquant distant, en envoyant un paquet PPTP spécialement forgé, d’exécuter du code arbitraire sur le système.

CVE-2022-41044

[Score CVSS v3.1: 8.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire à distance

Exploitation

La vulnérabilité exploitée est du type

CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization

Détails sur l’exploitation

  • Vecteur d’attaque : Réseau.

  • Complexité de l’attaque : Élevée.

  • Privilèges nécessaires pour réaliser l’attaque : Aucun.

  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

Microsoft Windows

 

  • Microsoft Windows 7 SP1 (x32 & x64)
  • Microsoft Windows Server 2008 R2 SP1 (x64)
  • Microsoft Windows Server (Server Core installation) 2008 SP2 (x32 & x64)
  • Microsoft Windows Server Server Core installation) 2008 R2 SP1 (x64)
  • Microsoft Windows Server for 32-bit systems 2008 SP2 (x32 & x64)

 

Solutions ou recommandations

Appliquer les mises à jour correctives concernant Microsoft Windows et Microsoft Server publiées dans le Patch Tuesday.

Windows :

Windows Server :

Des informations supplémentaires sont disponibles ici.

Liens