Microsoft n’a guère eu de répit en ce début d’année sur ses correctifs de sécurité avec la révélation des failles Spectre et Meltdown qui affectent les processeurs Intel, ARM et AMD. Son habituelle mise à jour de sécurité mensuelle, fournie le 2ème mardi de chaque mois (Patch Tuesday), a dû être précédée de plusieurs correctifs dès la semaine dernière. Même s’il n’y a pour l’instant aucune exploitation active de ces vulnérabilités, il faut mettre l’accent sur ces patches pour les navigateurs web en raison d’attaques potentielles utilisant JavaScript, souligne dans un billet Jimmy Graham, directeur produit chez Qualys. Ces correctifs risquant d’entraîner des problèmes de performance, il est important de les tester avant de les déployer. Certaines de ces mises à jour sont incompatibles avec certains logiciels antivirus, ainsi que l'indique Microsoft.
Par ailleurs, les correctifs livrés le 9 janvier 2018 dans la mise à jour mensuelle interviennent sur 56 problèmes de sécurité dont 16 sont critiques et 28 peuvent potentiellement permettre d’exécuter du code à distance. Parmi ces vulnérabilités se trouve une faille zero-day de corruption de mémoire déjà exploitée par des attaquants. Elle touche les logiciels Office et WordPad (CVE-2018-0802) et peut permettre l’exécution de code à distance lorsque les logiciels ne parviennent pas à gérer correctement des objets dans la mémoire. Le correctif livré vient supprimer la fonctionnalité Equation Editor, explique Microsoft.
Deux failles importantes sur Outlook et Word
Au total, les logiciels concernés par la mise à jour mensuelle sont les navigateurs web Internet Explorer et Edge, le système d’exploitation Windows, les outils bureautiques Office, Office Services et Web Apps, la base de données SQL Server, ChakraCore (moteur JavaScript d’Edge), ainsi que les environnements de développement .Net Framework, .Net Core et ASP.NET Core.
Parmi les failles à corriger en priorité, Qualys liste CVE-2017-5753, CVE-2017-5715, CVE-2017-5754, qui concernent Spectre et Meltdown, ainsi que CVE-2018-0793 qui porte sur Outlook et CVE-2018-0794 sur Word. Ces deux failles sont qualifiées d'importantes par Microsoft. Un certain nombre d'autres vulnérabilités sont également jugées importantes, ainsi que le détaille dans un billet Himanshu Mehta, ingénieur spécialisé dans l'analyse des menaces chez Symantec.