La mise à jour de sécurité de janvier est arrivée hier pour les logiciels de Microsoft, 2ème mardi du mois. Et, déjà, certains utilisateurs exploitant les partages réseaux SMBv2 signalent des problèmes importants lors de son application. Pour le chroniqueur Woody Leonhard, spécialiste de Windows, qui rapporte ces incidents, la seule solution connue est de ne pas installer la mise à jour de sécurité ou de la désinstaller.
Cette livraison mensuelle de correctifs – anciennement dénommée Patch Tuesday par Microsoft - vient pourtant corriger 49 vulnérabilités dont 7 sont qualifiées de critiques, 40 d’importantes tandis que la sévérité des 2 dernières est jugée modérée. Aucune exploitation de ces failles n’a été constatée jusque-là. Plus de la moitié des correctifs livrés concernent Windows et Windows Server, note Qualys dans son billet de commentaires habituel. Ce dernier relève notamment, parmi les failles critiques, deux vulnérabilités (CVE-2019-0550, CVE-2019-0551) concernant l’hyperviseur Hyper-V qui, en cas d’exploitation, permettraient l’exécution de code à distance.
A corriger en priorité, un bug dans le client DHCP
Parmi les failles à corriger en priorité, thezdi signale la vulnérabilité CVE-2019-0547 qui touche Windows 10 ou Server version 1803. Un bug dans le client DHCP permettrait l’exécution de code. Il n’existe pas dans les précédentes versions de l’OS, mais en revanche, le risque qu’il puisse être exploité est élevé, pointe Microsoft. Un autre correctif prioritaire porte sur la faille CVE-2019-0586 liée à une corruption de mémoire dans la messagerie Exchange. Enfin, les trois dernières failles critiques concernent une faille de corruption de mémoire dans le moteur de script Chakra : CVE-2019-0539, CVE-2019-0568, CVE-2019-0567. Thezdi signale aussi la faille CVE-2019-0622 qui concerne un risque d’élévation de privilège sur Skype pour Android.
Sur sa mise à jour de sécurité, Microsoft a été précédé en ce début d’année par Adobe qui a livré dès le 3 janvier des correctifs hors planning pour intervenir sur deux failles critiques sur ses logiciels Acrobat et Reader. Celles-ci (CVE-2018-16011 et CVE-2018-16018) lui ont été signalées par le programme Zerodayinitiative (cf thezdi).