Livrée hier, la mise à jour mensuelle de sécurité de Microsoft vient corriger 49 vulnérabilités dont 35 sont jugées importantes et 12 critiques. Sur ces dernières, la moitié concerne des failles sur les navigateurs, les autres portent sur Hyper-V et l’analyseur syntaxique MSXML. Dans son habituel billet de commentaires sur la livraison périodique, le spécialiste en sécurité Qualys conseille aux administrateurs Windows de donner la priorité aux correctifs portant sur les navigateurs et moteurs de scripting sur tous les postes qui les utilisent pour accéder aux emails et à Internet. Cela recouvre au total 23 CVE.
Parmi les failles importantes, la vulnérabilité CVE-2018-8453 est actuellement exploitée, selon Kaspersky Lab. Elle concerne une élévation de privilèges sur le composant Win32k et son exploitation est probablement limitée pour l’instant, estime le site Zerodayinitiative qui n’en avait pas encore eu vent. Sur l’hyperviseur, deux correctifs concernent des vulnérabilités (CVE-2018-8489 et CVE-2018-8490) qui permettent à un utilisateur authentifié d’exécuter du code arbitraire sur le système hôte. Cette mise à jour doit aussi être privilégiée sur les systèmes Hyper-V, conseille Microsoft même s’il précise que l’exploitation de cette faille est peu probable.
Une faille importante dans Exchange Server
Une faille découverte dans Exchange (CVE-2010-3190) pourrait permettre d’exécuter du code à distance pour prendre le contrôle du système affecté. Elle concerne toutes les installations d’Exchange Server. Du côté des patches liés aux logiciels d’Adobe, quatre viennent s’ajouter à ceux que l’éditeur de Flash a déjà commencé à livrer depuis le 1er octobre (dans le cadre d’une mise à jour de sécurité mensuelle portant sur 86 failles au total dont 47 critiques). L’un vient rectifier divers bugs dans Flash. Les autres portent sur Framemaker, Digital Editions et Technical Communications Suite pour des failles jugées critiques ou importantes.