Microsoft annonce la correction de plusieurs vulnérabilités critiques y compris trois zero-day dans les  systèmes d’exploitation Windows susmentionnés. Les trois zero-day sont :

• CVE-2024-38014 : Trouvée dans Windows Installer, cette vulnérabilité permet aux attaquants d'escalader les privilèges au niveau SYSTEM. Elle ne nécessite pas d'interaction de la part de l'utilisateur et affecte diverses versions de Windows 10 et 11.
• CVE-2024-38217 : Une faille de sécurité Windows Mark of the Web (MotW), permettant aux attaquants de contourner les contrôles de sécurité et d'exécuter des fichiers malveillants avec un examen de sécurité réduit.
• CVE-2024-43491 : Une vulnérabilité critique d'exécution de code à distance affectant Windows Update, avec un score de gravité de 9.8 sur 10. Bien qu'aucune exploitation n'ait encore été détectée, elle constitue une menace sérieuse.

L’exploitation des autres failles peut permettre à un attaquant de divulguer des informations confidentielles, d’exécuter du code arbitraire, réussir une élévation de privilèges, de  causer un déni de service et de contourner la politique de sécurité. Microsoft confirme que les vulnérabilités (CVE-2024-38217, CVE-2024-38014) sont activement exploitées.