La semaine écoulée a malheureusement été un bon cru pour les failles de sécurité en tous genres. La découverte de la vulnérabilité multi OS CVE-2018-8897 (Windows, Linux, MacOS, systèmes virtualisés...) a contraint les fournisseurs à réagir vite pour corriger leurs produits. Cela a notamment été le cas de Microsoft qui l'a inclus dans sa salve de correctifs pour le mois de mai, qui a comblé au total 68 vulnérabilités dont 21 ont été classées critiques. D'après les chercheurs de Zero Day Initiative et de Qualys, la priorité revient à appliquer le patch corrigeant la CVE-2018-8174 permettant d'exécuter du code à distance ciblant le moteur VBScript de Windows. « Un utilisateur a seulement à se rendre sur un site web malveillant pour qu'un attaquant exécute du code distant permettant de prendre le contrôle de sa machine », alerte Zero Day Initiative.
Outre cette vulnérabilité jugée prioritaire aussi bien par Zero Day Initiative que Qualys - mais catégorisée par Microsoft comme « seulement » importante, d'autres failles ne doivent pas être négligées. C'est le cas notamment pour celles affectant les navigateurs Internet Explorer et Edge. « Il est recommandé d'installer les mises à jour cumulatives dès que possible pour avoir la meilleure protection sur n'importe quel système ayant accès à Internet », peut-on lire dans un billet de blog de Qualys. Les entreprises recourant aux solutions Hyper-V et Exchange devront aussi être vigilantes en appliquant les correctifs comblant les vulnérabilités CVE-2018-0961, CVE-2018-0959 ainsi que la CVE-2018-8153.
Commentaire