Le dernier Patch Tuesday de Microsoft traite 74 vulnérabilités dont 13 classées comme critiques. Parmi ces dernières, cinq affectent les navigateurs et les moteurs de script, quatre sont de potentielles attaques contre l’hyperviseur Hyper-V tandis que les autres affectent Microsoft Exchange, Win32k, Windows Media Foundations et OpenType. Ce mois-ci, le bulletin de sécurité de Microsoft arrive au même moment que la November 2019 Update.
L’une des vulnérabilités affecte les moteurs de script (CVE-2019-1429) impactant Internet Explorer. Elle a été répertoriée par Microsoft comme attaquée activement et de manière aveugle. Mettre à jour le navigateur est fortement conseillé car toutes les versions actuelles d'IE sont concernées. « Dans un scénario d'attaque sur le Web, un pirate pourrait héberger un site Web spécialement conçu pour exploiter la vulnérabilité par le biais d'Internet Explorer, puis convaincre un utilisateur de consulter le site. Un attaquant pourrait aussi intégrer un contrôle ActiveX marqué "safe for initialization" dans une application ou un document Office qui héberge le moteur de rendu IE », explique Microsoft, en précisant que d’autres méthodes d’exploitation de la vulnérabilité existent.
Quatre vulnérabilités par exécution de code à distance (CVE-2019-1389, CVE-2019-1397, CVE-2019-1398 et CVE-2019-0721) sont corrigées dans Hyper-V et le système Hyper-V Network Switch. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable.
Des vulnérabilités Intel corrigées
Ces correctifs concernent aussi plusieurs failles Intel. Celle dans le Transactional Synchronization Extensions du fondeur a été aussi traité dans le Patch Tuesday (CVE-2019-11135). Si un attaquant avait exploité cette vulnérabilité, il aurait pu avoir accès au contenu de la mémoire du noyau à partir d'un processus en mode utilisateur.
Le bulletin de sécurité évoque une vulnérabilité par exécution de code à distance (CVE-2019-1373) dans Microsoft Exchange. « Il est indiqué que l’utilisateur doit exécuter des command-lets PowerShell sur le serveur Exchange, mais aucun niveau de privilèges nécessaire à l’exploitation de la vulnérabilité n’est précisé », note Jimmy Graham, directeur produit pour la gestion des vulnérabilités applicatives chez Qualys.