S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 novembre 2017
N° CERTFR-2017-ACT-043
Affaire suivie par: CERT-FR
le 20 novembre 2017

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2017-ACT-043

Gestion du document

Référence CERTFR-2017-ACT-043
Titre Bulletin d’actualité CERTFR-2017-ACT-043
Date de la première version 20 novembre 2017
Date de la dernière version 17 novembre 2017
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 – Mise à jour mensuelle de Microsoft

Le 14 novembre 2017, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante-trois vulnérabilités ont été corrigées, parmi lesquelles dix-neuf sont considérées critiques et trente-deux sont considérées importantes. Les produits suivants sont affectés :

  • Internet Explorer ;
  • Microsoft Edge ;
  • Microsoft Windows ;
  • Microsoft Office et Microsoft Office Services et Web Apps ;
  • ASP.NET Core et .NET Core ;
  • Chakra Core.

Navigateurs

Douze vulnérabilités ont été corrigées dans le navigateur Internet Explorer.

Parmi ces correctifs, neuf concernent une vulnérabilité d’exécution de code à distance. L’impact potentiel de ces failles est jugé comme critique pour huit et comme important pour une. Cette dernière, la CVE-2017-11827, avait par ailleurs été rendue publique avant la parution de la mise à jour de Microsoft.
Outre ces correctifs, trois vulnérabilités pouvant amener à une divulgation d’informations, deux importantes et une d’impact modéré, sont aussi corrigées par la mise à jour du mois de Novembre.

Vingt-quatre vulnérabilités sont corrigées pour Microsoft Edge.

Seize failles critiques d’exécution de code à distance, ainsi qu’une de même type et jugé importante, se voient apporter un correctif. Quatorze de ces vulnérabilités proviennent de corruption mémoire dans le moteur de script d’Edge à l’instar de la CVE-2017-11827 aussi présente dans Internet Explorer.

Sept autres vulnérabilités sont corrigés dans le navigateur Edge, toutes considérées comme importantes. Il s’agit pour quatre d’entre elles de failles conduisant à une divulgation d’informations pouvant faciliter la compromission d’un système. Les trois dernières failles permettent de contourner certains mécanismes de sécurité du navigateur, comme par exemple la CVE-2017-11863 qui offre la possibilité de contourner la validation du contenu d’une page web autorisant ainsi le chargement de contenu malveillant.

Adobe a corrigé cinq vulnérabilités pour le module Flash Player intégré dans Internet Explorer et Edge. Jugées comme critiques, elles peuvent conduire à une exécution de code arbitraire à distance.

Bureautique

La mise à jour du mois de novembre corrige six vulnérabilités dans les éléments de la suite Office de Microsoft. Il s’agit pour quatre de ces failles, considérées comme importantes, d’un risque d’exécution de code à distance. Un autre correctif est adressé pour la CVE-2017-11877. Cette vulnérabilité importante autorise un contournement d’une fonctionnalité de sécurité dans Excel et peut ainsi faciliter l’exécution de macro malveillante dans une feuille de calcul.

Enfin, le dernier correctif de cette catégorie concerne la CVE-2017-11876. Cette vulnérabilité permet de réaliser une élévation de privilèges dans Project Server par utilisation d’injections de requêtes illégitimes par rebond (CSRF).

Windows

Quinze correctifs sont fournis lors de cette mise à jour mensuelle pour les composants de Windows. Onze vulnérabilités concernent des risques de divulgation d’informations considérés comme importants. Dans cette catégorie, la CVE-2017-11835 tire par exemple parti de faiblesses dans le moteur de polices Embedded OpenType et pourrait être exploitée dans un document incorporant une police conçue à cet effet.

Les quatre autres vulnérabilités impactant les systèmes Windows sont une élévation de privilèges, un contournement de la fonctionnalité de sécurité, un déni de service et une usurpation d’identité. Une exploitation de la CVE-2017-11830, liée à un problème de contournement de la fonctionnalité de sécurité Device Guard, pourrait par exemple permettre d’exécuter du code non signé et ainsi potentiellement malveillant.

Cadriciel .NET

Quatre vulnérabilités sont corrigés dans Microsoft .NET. Il s’agit pour les CVE-2017-11770 et CVE-2017-11883 d’un risque de déni de service. On notera que cette seconde vulnérabilité impactant ASP.NET Core avait été révélée publiquement avant la parution du correctif de Microsoft.

Cette mise à jour corrige aussi un risque d’élévation de privilèges considéré comme important et une faille menant à une divulgation d’information de sévérité modérée. Cette dernière, la CVE-2017-8700, avait elle aussi été annoncée publiquement avant le 14 novembre.

Chakra Core

Seize vulnérabilités sont corrigées dans le moteur de script Chakra Core. Quatorze d’entre elles sont considérées comme critiques et peuvent conduire à une exécution de code à distance. Les deux autres, toutes les deux importantes, concernent un contournement de la fonctionnalité de sécurité et une divulgation d’informations. Il est à noter que Chackra Core est utilisé dans le navigateur Microsoft Edge pour l’interprétation des codes Javascripts. Les vulnérabilités dans ce composant, et notamment celle menant à une exécution de code, impacte donc Edge, comme c’est le cas par exemple pour la CVE-2017-11871.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Documentation

Rappel des avis émis

Dans la période du 13 au 19 novembre 2017, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 17 novembre 2017
    Version initiale