Pour septembre, Microsoft livre 80 correctifs dans sa mise à jour de sécurité (ex-Patch Tuesday) dont 17 pour des failles jugées critiques et 62 pour des failles importantes. Une seule présente une sévérité modérée. Sur l’ensemble, 18 ont été découvertes par le programme ZeroDayInitiative qui met l’accent sur quatre d’entre elles, qualifiées d’importantes, deux ayant été publiquement révélées CVE-2019-1235 et CVE-2019-1294, et les deux autres étant activement exploitées.
C’est le cas de la CVE-2019-1215. Cette faille d’élévation de privilège apparaît dans Windows Text Service Framework (TSF) lorsque le processus serveur TSF ne valide pas la source de l’information ou les commandes qu’il reçoit. Un attaquant peut alors l’exploiter pour injecter des commandes ou lire les informations envoyées à travers un éditeur de saisie (Input Method Editor, IME) malveillant. Cela n’affecte que les systèmes qui ont installé un IME. La 2ème faille déjà exploitée, CVE-2019-1214, est liée à une élévation de privilège lorsque le pilote Common Log File System (CLFS) de Windows manipule de façon inapropriée les objets dans la mémoire. Un attaquant pourrait alors exécuter un processus dans un contexte d’élévation de privilège.
Failles critiques sur SharePoint, Chakra, VBScript, Remote Desktop...
Les failles critiques corrigées en septembre concernent principalement le logiciel SharePoint (CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296), le moteur de scripting Chakra, le moteur VBScript, le Remote Desktop Client de Windows. Egalement critique, la vulnérabilité CVE-2019-1280 logée dans Windows permettrait l’exécution de code distant si un fichier .LNK est lancé. L’attaquant qui exploiterait cette faille pourrait disposer des mêmes droits que l’utilisateur local. Les comptes utilisateurs disposant de droits limités seraient donc moins impactés par cette faille que les comptes administrateurs.
A noter par ailleurs, le correctif destiné à une autre vulnérabilité critique (CVE-2019-1306) dans Azure DevOps Server, ancien Team Foundation Server. Un attaquant téléchargeant un fichier vers un serveur pourrait exécuter du code via un compte Azure DevOps/TFS, explique dans un billet Jimmy Graham, directeur senior Product management du spécialiste en sécurité Qualys.
Quant à Adobe, il corrige deux failles critiques dans Flash Player dans sa mise à jour de sécurité mensuelle. Qualys conseille de les appliquer en priorité sur les postes de travail. Adobe corrige également une vulnérabilité importante sur le chargement non sécurisé d’une DLL dans Application Manager.