Microsoft a livré hier - 2ème mardi du mois - sa mise à jour de sécurité pour novembre. Les correctifs sont présentés et décrits dans sa base Security Update Guide, mais depuis le changement de présentation de son Patch Tuesday, en avril dernier, l'éditeur ne propose plus la synthèse des bulletins de sécurité qu’il publiait jusque-là. La lecture récapitulative des correctifs ne s’en trouve pas facilitée. Selon Gill Langston, directeur produit du spécialiste en sécurité Qualys, cette livraison de novembre intervient sur 53 vulnérabilités dont 25 sont liées à un risque d’exécution de code à distance. Et elle comporte une mise à jour « massive » pour les logiciels d’Adobe.
Le système d’exploitation Windows reçoit 14 correctifs, aucun n’étant considéré comme critique. Les autres correctifs sont destinés aux navigateurs web et à Office. Selon Microsoft, aucune des failles considérées n’a été encore été exploitée « in the wild » par des pirates. Contrairement au mois d’octobre dernier où la faille CVE-2017-11826 concernant une vulnérabilité de corruption de mémoire dans Office était exploitée activement. En octobre, Microsoft avait également corrigé, « discrètement », rappelle Gill Langston, la vulnérabilité CVE-2017-13080, connue comme la faille Krack dans le protocole sans fil WPA2. Il ne l’avait fait savoir qu’une semaine plus tard lorsqu'elle avait été révélée publiquement, rappelle le responsable produit de Qualys.
13 correctifs à appliquer en priorité
Pour novembre, Gill Langston recommande aux administrateurs de s’occuper en priorité des failles CVE-2017-11830 et CVE-2017-11847. La première est une vulnérabilité de contournement des fonctions de sécurité Device Guard. La deuxième peut déboucher sur une élévation de privilèges dans Windows. Quatre autres failles doivent également être corrigées rapidement car il existe déjà des outils pour les exploiter, même si ceux-ci n’apparaissent pas encore pour l’instant dans des campagnes d’attaques actives. Il s’agit des failles CVE-2017-11848 (concernant Internet Explorer), CVE-2017-11827 (portant à la fois sur IE et Edge), CVE-2017-11883 et CVE-2017-8700 (ces deux dernières étant liées à ASP.NET).
Qualys pointe six autres failles à mettre sur la liste des priorités : CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871 et CVE-2017-11873. Elles concernent toutes le moteur de script des navigateurs Edge et IE, notamment sur les ordinateurs portables. Un dernier correctif est qualifié d’important par Microsoft. Il porte sur la faille de corruption de mémoire dans Office CVE-2017-11882 qui prête le flanc à une exécution de code à distance.
Commentaire