Le traditionnel bal des correctifs de sécurité Microsoft s'est poursuivi en juin. En début de semaine, l'éditeur a ainsi annoncé la publication de 50 patchs pour différents produits IE, Edge, ChakraCore (moteur JavaScript) ainsi que Hyper-V, Windows et Office. Parmi eux, 39 ont été classés comme importants et 11 critiques. Parmi eux, on trouve en particulier la vulnérabilité CVE-2018-8225 exploitant une faille dans Windows DNSAPI (Domain Name System). « Le scénario le plus probable consiste simplement à tromper un serveur DNS cible pour interroger un serveur malveillant qui envoie la réponse corrompue à partir de la ligne de commande », explique les chercheurs de Zero Day Initiative. La vulnérabilité CVE-2018-8231 permet quant à elle l'exécution de code à distance dans la pile du protocole HTTP. « Ce correctif couvre un autre bug sérieux dans un service Web. Cette fois, le composant de serveur Web http.sys est affecté. Un attaquant distant pourrait provoquer l'exécution de code en envoyant un paquet mal formé à un serveur cible », indique Zero Day Initiative.
« Les autres correctifs Microsoft critiques concernent principalement les navigateurs, Windows Scripting Engine et Windows Media Foundation. Ces correctifs doivent être prioritaires pour les périphériques de type station de travail », précise par ailleurs Qualys dans un billet de blog. « Adobe a publié une mise à jour pour une vulnérabilité Flash Player. Cette vulnérabilité est activement exploitée selon Adobe et devrait être priorisée pour les périphériques de type station de travail. »
Commentaire