Comme à son habitude, Microsoft a publié ce deuxième mardi du mois des correctifs pour combler des failles dans ses logiciels et services. Pour octobre, 59 vulnérabilités ont été corrigées, dont 9 classées critiques, affectant notamment Windows, IE/Edge, ChakraCore ou encore Office, SQL Server Management Studio et Dynamics 365.
Concernant les failles les plus importantes, on retiendra en particulier la CVE-2019-1372 permettant une élévation de privilèges dans Azure App Service. « Un attaquant pourrait utiliser cette vulnérabilité pour faire exécuter une fonction non privilégiée par un code d'exécution de l'utilisateur au niveau de System », prévient Zero Day Initiative. D'autres failles critiques sont corrigées concernant l'exécution à distance de code malveillant (CVE-2019-1333) ou encore le risque de corruption de mémoire dans le moteur de script Chakra (CVE-2019-1307, CVE-2019-1308, CVE-2019-1335 et CVE-2019-1366).
Une faille Cortana de Windows 10 Mobile comblée
Parmi les 49 autres classées comme importantes, on trouve la CVE-2019-1314 qui touche la fonction de sécurité de Windows 10 Mobile. « Cette fonction de contournement des fonctions de sécurité (SFB) pour Windows 10 Mobile tire parti d'une faille dans Cortana qui permet à un attaquant d'accéder aux fichiers d'un appareil à partir de l'écran de verrouillage », indiquent les chercheurs de Zero Day Initiative. « De toute évidence, l'attaquant aurait besoin d'un accès physique à l'appareil ». La dernière vulnérabilité corrigée ce mois-ci, classée modérée, concerne une élévation de privilèges liée au système de mise en mémoire tampon de lecteurs Windows.
Commentaire