Bulletin d’actualité CERTFR-2017-ACT-041

1 - Mise à jour mensuelle de Microsoft

Le 10 octobre 2017, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-quatre vulnérabilités ont été corrigées, parmi lesquelles vingt-neuf sont considérées critiques et trente-cinq sont considérées importantes. Les produits suivants sont affectés :

Internet Explorer ;
Microsoft Edge ;
Microsoft Windows ;
Microsoft Office et Services Microsoft Office et Microsoft Office Web Apps ;
Skype pour les entreprises et Lync ;
Chakra Core.

Navigateurs

Quatre vulnérabilités d'exécution de code à distance critiques sont corrigées dans Internet Explorer. Elles proviennent d'erreur de gestion de mémoire, soit de la part d'Internet Explorer, soit de son moteur de script. La vulnérabilité CVE-2017-11790 est une vulnérabilité de divulgation d'informations qui permet d'obtenir des renseignements sensibles, comme certaines adresses mémoire, facilitant la compromission d'une machine.

Quinze vulnérabilités d'exécution de code à distance critiques sont corrigées dans le moteur de script d'Edge. Deux vulnérabilités importantes de divulgation d'informations ont également reçu un correctif, dont la vulnérabilité CVE-2017-11790 qui est commune aux deux navigateurs de Microsoft.

Bureautique

Cette mise à jour corrige sept vulnérabilités dans Microsoft Office. Les vulnérabilités CVE-2017-11825 et CVE-2017-11826 permettent une exécution de code à distance à l'ouverture d'un fichier piégé. Le vulnérabilité CVE-2017-11826 a été rendue publique avant la sortie du correctif de sécurité.

Trois des vulnérabilités conduisent à une élévation de privilèges sur Microsoft SharePoint par le biais d'attaques de script inter-sites (cross-site scripting, XSS). A noter que la vulnérabilité CVE-2017-11777 a été publiée publiquement.

La vulnérabilité CVE-2017-11774 permet un contournement de la politique de sécurité dans Outlook. Une exploitation réussie donne la possibilité à un attaquant d'exécuter des commande arbitraires.

La vulnérabilité CVE-2017-11776 peut être exploitée pour obtenir le contenu des messages électroniques d’un utilisateur.

Windows

Trente et une vulnérabilités sont corrigées dans Windows. Dix d'entre elles permettent une exécution de code à distance, six sont jugées critiques et quatre sont importantes. Les composants impactés sont Windows Search, DNSAPI, Microsoft Graphics, Windows Shell, Microsoft Jet, TRIE et le serveur SMB.

Six vulnérabilités permettant d'élever ses privilèges sont également corrigées, notamment dans Win32k et Windows SMB.

Une vulnérabilité jugée critique permet le contournement de la politique de sécurité. Elle n'est pas identifiée par un numéro de CVE. Elle impacte les jeux de puces Trusted Platform Module (TPM), et permet de dégrader la robustesse des clés cryptographiques. Trois autres vulnérabilités de contournement de la politique de sécurité sont également corrigées.

Les autres vulnérabilités corrigées concernent des divulgations d'informations et des dénis de services. La vulnérabilité CVE-2017-8703 impacte le sous-système Linux de Windows et a été révélée publiquement.

Autre

Seize vulnérabilités critiques permettant une exécution de code à distance sont corrigées dans ChakraCore, l'un des moteurs de scripts utilisé par Edge.

La vulnérabilité CVE-2017-11786 permet une élévation de privilège dans Skype.

Correctif hors bande

Le 16 octobre 2017, Microsoft a publié un correctif relatif aux récentes découvertes de vulnérabilités dans le protocole WPA/WPA2 (cf. section documentation). Cette mise à jour publiée hors du cadre des correctifs mensuels adresse la vulnérabilité CVE-2017-13080 qui permet de porter atteinte à la confidentialité des communications Wi-Fi protégés par WPA/WPA2.

Recommandations

Le CERT-FR recommande l'application de ces correctifs de sécurité dès que possible.

Documentation

Bulletin de sécurité Microsoft du 10 octobre 2017 https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/313ae481-3088-e711-80e2-000d3a32fc99
Avis du CERT-FR CERTFR-2017-AVI-357 https://cert.ssi.gouv.fr/avis/CERTFR-2017-AVI-357/

Rappel des publications émises

Dans la période du 09 octobre 2017 au 15 octobre 2017, le CERT-FR a émis les publications suivantes :

CERTFR-2017-AVI-337 : Vulnérabilité dans le noyau Linux de RedHat
CERTFR-2017-AVI-338 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2017-AVI-339 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
CERTFR-2017-AVI-340 : Multiples vulnérabilités dans Mozilla Thunderbird
CERTFR-2017-AVI-341 : Multiples vulnérabilités dans Wireshark
CERTFR-2017-AVI-342 : Multiples vulnérabilités dans Microsoft Internet Explorer
CERTFR-2017-AVI-343 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2017-AVI-344 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2017-AVI-345 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2017-AVI-346 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2017-AVI-347 : Vulnérabilité dans Apple iOS
CERTFR-2017-AVI-348 : Multiples vulnérabilités dans les produits Juniper
CERTFR-2017-AVI-349 : Vulnérabilité dans SCADA Siemens BACnet field panels
CERTFR-2017-AVI-350 : Multiples vulnérabilités dans Citrix XenServer
CERTFR-2017-AVI-351 : Multiples vulnérabilités dans Xen

Dans la période du 09 octobre 2017 au 15 octobre 2017, le CERT-FR a mis à jour les publications suivantes :

CERTFR-2017-ALE-013 : Présence de code malveillant dans Piriform CCleaner

Référence	CERTFR-2017-ACT-041
Titre	Bulletin d’actualité CERTFR-2017-ACT-041
Date de la première version	17 octobre 2017
Date de la dernière version	17 octobre 2017
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2017-ACT-041

Gestion du document