Microsoft a annoncé mardi sa traditionnelle salve de correctifs de sécurité. En tout, 67 patchs sont proposés pour combler des failles dans Internet Explorer, Edge, ChakraCore, Windows, Visual Studio, Microsoft Office, Office Services et Web Apps ainsi que son Malware Protection Engine. Près du tiers des correctifs proposés (24) ont été classés comme critiques, comme ont pu le détailler les chercheurs en sécurité de Zero Day Initiative.
Parmi les vulnérabilités patchées la CVE-2018-8117 est originale mais non moins sensible puisqu'elle concerne non pas un logiciel mais du matériel, en l'occurrence le clavier sans fil Microsoft Keyboard 850. En l'absence de correctif, un pirate pourrait enregistrer les frappes clavier et repérer des séquences d'identifiants et/ou de mots de passe, voire commander à distance le clavier pour entrer des frappes dans des programmes. « La bibliothèque de polices (à savoir le composant Microsoft Graphics tel que dénommé dans les bulletins) contient 5 des vulnérabilités critiques. Ces dernières peuvent entraîner l'exécution de code à distance (RCE) via une attaque basée Web ou lancée via un partage de fichiers. Ces mises à jour doivent être déployées en priorité sur les équipements de type postes de travail ainsi que sur les serveurs. », a précisé de son côté l'éditeur en sécurité Qualys.
Classée critique, la CVE-2018-1004 concerne le moteur VBScript avec une exploitation possible pour de l'exécution de code distant. On oubliera pas de citer aussi la CVE-2018-0986 qui touche le moteur de protection anti-malware de Microsoft. « Le bug lui-même est assez grave car il pourrait permettre à un attaquant d'exécuter du code sur un système cible en demandant au moteur de scanner un fichier malicieusement conçu », ont commenté les chercheurs de Zero Day Initiative.