1 - Mise à jour mensuelle de Microsoft

Le 12 septembre 2017, Microsoft a publié ses mises à jour mensuelles de sécurité. Quatre-vingt-trois vulnérabilités ont été corrigées, parmi lesquelles vingt-huit sont considérées critiques et cinquante-trois sont considérées importantes. Les produits suivants sont affectés :
  • Internet Explorer ;
  • Microsoft Edge ;
  • Microsoft Windows ;
  • Microsoft Office et Services Microsoft Office et Microsoft Office Web Apps ;
  • Le cadriciel .Net ;
  • Adobe Flash Player ;
  • Skype pour les entreprises et Lync ;
  • Microsoft Exchange Server.

Navigateurs

Cette mise à jour corrige sept vulnérabilités dans Internet Explorer. Cinq d'entre elles concernent une possible exécution de code à distance et ont toutes pour origines un problème de corruption mémoire. Deux autres vulnérabilités sont jugées importantes par Microsoft. Il s'agit pour la CVE-2017-8736 d'une divulgation d'informations et pour la CVE-2017-8733 d'une vulnérabilité d'usurpation d'identité. Vingt-neuf vulnérabilités sont corrigées pour le navigateur Microsoft Edge. Les corrections apportées pour Edge concernent des vulnérabilités critiques pour vingt d'entre elles. Toutes peuvent conduire à une exécution de code.

Parmi les autres vulnérabilités corrigées dans le navigateur, cinq correspondent à des divulgations d'informations identifiées comme importantes. Deux risques d'usurpation d'identité, l'un modéré et le second important se voient aussi apporter un correctif. Enfin, deux possibilités de contournement de fonctionnalités de sécurité pouvant mener au chargement d'une page hébergeant du contenu malveillant sont corrigées. Il s'agit pour la première d'une vulnérabilité importante et pour la seconde d'un problème de sécurité modéré. Cette dernière, la CVE-2017-8723, était connue publiquement avant la publication des correctifs de ce mois par Microsoft.

On notera que les vulnérabilités CVE-2017-8736, CVE-2017-8741, CVE-2017-8748 et CVE-2017-8750 corrigées pour Edge affectent aussi le navigateur Internet Explorer.

Adobe a corrigé deux vulnérabilités pour le module Flash Player intégré dans Internet Explorer et Edge. Jugées comme critiques, elles peuvent conduire à une exécution de code arbitraire à distance.

Bureautique

Treize vulnérabilités sont corrigées pour Microsoft Office. Deux induisent un risque critique d'exécution de codes et sept vulnérabilités sont importantes.

Une vulnérabilité critique liée à une fuite d'informations, la CVE-2017-8676, ainsi qu'une seconde de même type et jugée importante sont également corrigées. Enfin, cette mise à jour corrige deux vulnérabilités de type script de site à site (XSS), impactant Microsoft SharePoint, qui sont jugées importantes. Elles peuvent toutes deux mener à une élévation de privilèges.

Windows

Quarante-six vulnérabilités ont été corrigées dans les divers composants de Windows.

Treize de ces vulnérabilités peuvent mener à une exécution de code. Sept d'entre elles sont d'ailleurs considérées comme critiques, quand les six autres sont jugées importantes. La CVE-2017-9417 a été rendue publique avant la publication d'un correctif ce mois. Celle-ci affecte un circuit Broadcom dans HoloLens et peut mener à la compromission du système. Vingt-quatre vulnérabilités corrigées ont pour impact une possible divulgation d'informations. Ces vulnérabilités sont toutes jugées comme importantes.

Les autres correctifs apportés pour le mois de septembre concernent cinq élévations de privilèges, deux contournements de la politique de sécurité ainsi qu'une possibilité d'usurpation d'identité et un déni de service.

Toutes ces vulnérabilités sont considérées comme importantes par Microsoft.

Cadriciel .NET

Une vulnérabilité impactant le cadriciel .NET est corrigée avec cette publication du mois de septembre. Jugée importante, la CVE-2017-8759 entraîne une exécution de code arbitraire. Cette vulnérabilité peut être exploitée grâce à un document RTF malveillant et permet de provoquer une injection de commande dans un parser SOAP WSDL. Cette vulnérabilité semble par ailleurs largement exploitée dans la nature avant la publication de ce correctif. De plus amples informations sur cette vulnérabilité peuvent être trouvées dans la section documentation ([2]).

Recommandations

Le CERT-FR recommande l'application de ces correctifs de sécurité dès que possible.

Documentation

  1. Bulletin de sécurité Microsoft 5984735e-f651-e711-80dd-000d3a32fc99 du 12 septembre 2017
    https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/5984735e-f651-e711-80dd-000d3a32fc99
    
  2. Article de blogue de Fireeye sur la CVE-2017-8759 du 12 septembre 2017
    https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html
    

Rappel des publications émises

Dans la période du 11 septembre 2017 au 17 septembre 2017, le CERT-FR a émis les publications suivantes :