Pas de pause pour les mises à jour de sécurité. La livraison mensuelle de Microsoft (ex-Patch Tuesday) vient d'arriver pour corriger 63 vulnérabilités dont 20 sont critiques. Parmi ces dernières, la moitié concerne les navigateurs web, les autres portant sur Windows, SQL et Exchange. Dans son habituel billet sur cette livraison, l’éditeur Qualys signale une priorité haute sur l'une des failles, CVE-2018-8373, liée au moteur de scripting qui gère les objets dans la mémoire d’Internet Explorer. Des programmes permettant de l'exploiter ont déjà été détectés. Le correctif associé doit donc être appliqué très rapidement, prévient l’auteur du billet, Jimmy Graham.
L'expert de Qualys signale une autre urgence sur la faille CVE-2018-8345 liée aux fichiers .LNK. « Ce correctif doit être appliqué en priorité à la fois sur les stations de travail et sur les serveurs car il n’est pas nécessaire que l’utilisateur clique sur le fichier pour exploiter la faille », prévient-il. Une simple visualisation d’un fichier .LNK malveillant peut en effet conduire à exécuter le code en tant qu’utilisateur connecté.
Configuration de la base de registre pour les correctifs L1TF
Au sujet des nouvelles failles tout juste révélées sur les puces Intel, dites L1 Terminal Fault, L1TF ou Foreshadow, Microsoft a livré un document sur la conduite à suivre, de même qu’une analyse technique complète. Ces vulnérabilités touchent les processeurs Intel à la manière de Meltdown/Spectre. Des correctifs sont livrés mais ils nécessitent une configuration de la base de registre pour permettre une réduction des risques. Comme Meltdown, l’exploitation de cette faille peut autoriser des VM invitées à rechercher les données d’autres hôtes, ainsi que les communications entre processus, explique l’analyste de Qualys.
Des correctifs critiques sur Acrobat, Reader et Flash
Jimmy Graham s’arrête sur deux autres correctifs liés aux failles CVE-2018-8302 et CVE-2018-8273. La première a été découverte dans la messagerie Exchange. Son exploitation nécessite toutefois un accès privilégié au paramétrage du compte mail. La 2ème est une faille d’exécution à distance sur les requêtes SQL. Elle peut être réalisée en chaînant une faille d’injection SQL dans une application web, souligne l’expert de Qualys.
Enfin, comme chaque mois, le Patch Tuesday apporte des correctifs pour les logiciels d’Adobe. Cette fois-ci, il contient des correctifs pour Flash, Acrobat/Reader, Experience Manager et Creative Cloud. Deux sont critiques sur Acrobat et Reader. Microsoft estime que celui de Flash l'est aussi.
Commentaire