Alors que la trêve des confiseurs s’approche, Microsoft livre de son côté une mise à jour de sécurité moins fournie que le mois précédent. Concernant surtout les navigateurs web Edge et Internet Explorer et, dans une moindre mesure, Windows, cette livraison réunit des correctifs pour 32 vulnérabilités associées à un identifiant CVE, contre 53 en novembre. Outre Edge, IE et Windows, ces patches s'appliquent à des failles repérées dans Office, Office Services et les Web Apps, ainsi que dans la messagerie Exchange Server, ChakraCore - le moteur JavaScript de Edge - et Malware Protection Engine. Sur l'ensemble, 20 de ces failles sont néanmoins jugées critiques et 12 sont qualifiées d'importantes, souligne Trend Micro dans son blog Zero Day Initiative. Il y a des risques d’exécution de code à distance pour 24 d'entre elles. Toutefois, comme le mois dernier, Microsoft n’a encore relevé aucune exploitation active de ces failles.
Du côté des experts en sécurité, on conseille de corriger en priorité les failles de corruption de mémoire sur les navigateurs web et le moteur de script ChakraCore, d’autant qu’elles ne sont pas encore associées à des exploits connus. La vulnérabilité CVE-2017-11888 est placée en tête. Dans son billet mensuel, Qualys invite par ailleurs à s’occuper de la faille CVE-2017-1885 qui peut permettre d’exécuter du code via un appel de procédure distante (RPC) sur des systèmes ayant activé le service Routage et accès distant (RRAS). Gill Langston, expert en sécurité de Qualys, rappelle aussi que Microsoft a livré le 7 décembre dernier un correctif urgent pour corriger les failles CVE-2017-11937 et CVE-2017-11940 sur son moteur de protection contre les logiciels malveillants, Malware Protection Engine.
Une faille importante dans Windows
A noter également, parmi les failles dont le niveau de sécurité est jugé important dans ce Patch Tuesday (dénomination officiellement abandonnée il y a quelques mois par Microsoft), la vulnérabilité CVE-2017-11927 qui concerne Windows (10, 7, 8.1, RT) et Windows Server 2008. Non corrigée, elle pourrait permettre à un attaquant ayant réussi à abuser un utilisateur (via un site malveillant, un partage SMB ou un chemin UNC) à récupérer le hash du protocole NTLM pour récupérer le mot de passe correspondant par force brute, explique Microsoft. Par ailleurs, toujours sur Windows, l'éditeur de Redmond intervient de nouveau sur une vulnérabilité de contournement des fonctions de sécurité Device Guard (CVE-2017-11899).
Du côté d’Adobe, on trouve ce mois-ci un seul correctif pour la faille CVE-2017-11305 dans le lecteur Flash. Il concerne Windows, Macintosh, Linux ainsi que Chrome OS et corrige une régression pouvant conduire à réinitialiser le fichier de préférences des paramètres globaux.