Pour ce mois d’octobre, Microsoft livre des correctifs pour 87 vulnérabilités. On redescend ainsi au-dessous de la barre des 110 failles traitées par mois par l’éditeur depuis mars dernier, dont 11 critiques, 75 importantes et la dernière modérée. Cette mise à jour de sécurité englobe Windows, Office et Office Services, ainsi que les Web Apps, Azure Functions, Exchange Server, Visual Studio, le framework .Net, les applications de gestion Dynamics et la bibliothèque de codecs. Plus d’une dizaine de vulnérabilités ont été signalées par le programme ZeroDay Initiative.
Les failles critiques concernent en particulier la pile TCP/IP, SharePoint, le Windows Camera Codec Pack et la partie Graphics de Windows qui gère l’affichage, ainsi que d’autres éléments également liés au poste de travail. De façon générale, de nombreuses failles de ce Patch Tuesday touchent le poste de travail. En dehors de ceux déja cités, on trouve encore le navigateur, l’hyperviseur, la messagerie Outlook, Media Foundation et GDI+, résume la firme de sécurité Qualys sur son blog.
Risque de propagation de ver
En haut de la liste des priorités, la vulnérabilité CVE-2020-16898 sur la pile TCP/IP de Windows est jugée « extrêmement critique » car « wormable », souligne Qualys. Son exploitation pourrait en effet se propager d’un ordinateur à l’autre sur le mode de l’infection par ver, à la manière d’un WannaCry. « Il existe une vulnérabilité d'exécution de code à distance lorsque la pile TCP/IP Windows ne gère pas correctement les paquets d'annonce de routeur ICMPv6 », confirme Microsoft. Le bug permettrait à des attaquants de prendre le contrôle complet d’un système Windows en envoyant des paquets ICMPv6 malveillants à des systèmes non patchés.
SharePoint Server est de son côté touché par deux failles permettant d’exécuter du code à distance, la CVE-2020-16951 et la CVE-2020-16952. Elles permettraient d’authentifier un utilisateur sur un système hôte pour effectuer des actions de sécurité. Bien qu’il la juge moins susceptible d’exploitation que d’autres, Microsoft estime tout de même qu’il faut la corriger en priorité. Autre faille d’exploitation à distance, la CVE-2020-16923, logée dans le composant Graphics. Celle-ci pourrait être exploitée lorsqu’un utilisateur ouvre un fichier spécifiquement créé à cet effet. Il faut installer ce correctif sur tous les postes et serveurs sous Windows.
Outlook et Hyper-V également en haut de la liste
Outlook est concerné par la faille CVE-2020-16947, rapportée par le programme ZeroDay Initiative. Celle-ci s’active en visualisant un mail spécifiquement créé pour cela sans qu’il soit nécessaire de l’ouvrir. Le vecteur d’attaque est la fenêtre de prévisualisation, explique ZDI, qui conseille de patcher rapidement la faille. Hyper-V est de son côté touché par la faille CVE-2020-16891 qui permet à un attaquant d’exécuter un programme sur l’OS invité affecté. Quant à la CVE-2020-16909, elle est l’un des 6 bugs publiquement connus ce mois-ci. Son patch vient corriger une escalade de privilège dans le composant WER (Windows Error Reporting) de l’OS de Microsoft, explique ZDI. Même si la faille n’est pas listée dans les 6 vulnérabilités du mois publiquement connues, des attaques s’appuyant sur les bugs du composant ont été signalées, rappelle le programme de recherche de vulnérabilités. A traiter donc.
Parmi les autres corrections, Azure Functions (CVE-2020-16904) est affecté par une vulnérabilité d’élévation de privilèges. Enfin, du côté d’Adobe, il faut signaler une faille critique dans le lecteur Flash pour Windows, macOS, Linux et Chrome OS.