Mise à jour mensuelle de Microsoft

Le 09 janvier 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante six vulnérabilités ont été corrigées, parmi lesquelles seize d'entre elles sont considérées comme critiques, trente-huit sont considérées importantes, une est considérée modérée et une est considérée faible. Les produits suivants sont affectés :
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • SQL Server
  • ChakraCore
  • .NET Framework
  • .NET Core
  • ASP.NET Core
  • Adobe Flash

Navigateurs

Deux vulnérabilités ont été corrigées dans le navigateur Internet Explorer. Ce sont deux vulnérabilités d'exécution de code à distance. L'impact potentiel de ces failles est jugé comme critique pour l'ensemble de ces vulnérabilités.

Dix-huit vulnérabilités ont été corrigées pour le navigateur Microsoft Edge.

Douze d'entre elles concernent des vulnérabilités d'exécution de code à distance et sont considérées critiques. Une autre vulnérabilité de même type est jugée importante. Quatre autres vulnérabilités sont corrigées pour le navigateur Microsoft Edge. Il s'agit de vulnérabilités amenant à une divulgation d'informations pouvant faciliter la compromission d'un système. Trois d'entre elles sont considérées comme critiques et une du même type jugée comme importante.

De plus, Microsoft a intégré à ses navigateurs, Edge et Internet Explorer, un correctif destiné au module Flash Player d'Adobe pour la CVE-2018-4871. Cette vulnérabilité est jugée comme importante et permettrait, lors d'une attaque réussie, d'exposer des données sensibles.

Le navigateur Edge et Internet Explorer ont reçu un correctif avant la mise à jour annuelle de Microsoft afin de corriger les multiples vulnérabilités dans les processeurs. (cf. Bulletin d'alerte, Multiples vulnérabilités de fuite d’informations dans des processeurs)

Bureautique

La mise à jour du mois de janvier corrige dix-neuf vulnérabilités dans la suite Microsoft Office. Quinze d'entre elles concernent des vulnérabilités permettant d'exécuter du code à distance. Plus particulièrement, treize des quinze corrections sont jugées comme importantes dont certaines étaient causées par l'éditeur d'équation. La vulnérabilité CVE-2018-0802 de type 0-jour, causée par ce même éditeur, a donc été corrigée. Il y a une quatorzième vulnérabilité, ayant une sévérité faible, qui concerne également l'éditeur d'équation. Le correctif a supprimé la fonctionnalité "Éditeur d'équation" de Microsoft Office suite aux multiples vulnérabilités associées. La dernière correction pour Microsoft Office est à destination de la vulnérabilité critique ayant comme identifiant CVE-2018-0797 et concerne la gestion des documents au format RTF.

Une vulnérabilité importante de type falsification est corrigée pour Microsoft Access. Elle concerne la vulnérabilité CVE-2018-0799. Cette vulnérabilité permet de réaliser une attaque de type injection de code indirect (XSS) et donc, de permettre l'exécution de code JavaScript.

Une autre vulnérabilité importante et de type divulgation d'information a été corrigée. Elle concerne le logiciel Microsoft SharePoint. Cette vulnérabilité porte l'identifiant CVE-2018-0790 et permet de réaliser une attaque de type injection de code indirect (XSS).

Une vulnérabilité importante concernant Microsoft SharePoint Server a été corrigée. Elle permet d'utiliser l'identité d'un utilisateur pour effectuer des actions en son nom.

Une dernière vulnérabilité importante et de type usurpation d'identité a été corrigée pour le logiciel Outlook de Microsoft pour Mac. Le logiciel ne traitait pas correctement le codage et l'affichage des adresses de messagerie électronique permettant ainsi de faciliter une attaque par ingénierie sociale.

Windows

Quatorze correctifs ont été apportés lors de cette mise à jour mensuelle pour les systèmes d'exploitation Windows. Six vulnérabilités importantes permettant une élévation de privilèges ont été corrigées ainsi que sept vulnérabilités importantes de type divulgation d'informations. Une vulnérabilité entraînant un déni de service a également été corrigée.

Les divers systèmes Windows ont reçu un correctif avant la mise à jour annuelle de Microsoft afin de corriger les multiples vulnérabilités dans les processeurs. (cf. Bulletin d'alerte, Multiples vulnérabilités de fuite d’informations dans des processeurs)

Cadriciel .NET

Quatre vulnérabilités ont été corrigées dans Microsoft .NET. Il s'agit, pour la vulnérabilité CVE-2018-0764, d'un risque de déni de service de sévérité importante. La mise à jour corrige également les vulnérabilités CVE-2018-0784 et CVE-2018-0786 qui respectivement, permettent un déni de service et un contournement d'une fonctionnalité de sécurité. La dernière vulnérabilité corrigée est de sévérité modérée et permet une injection de requêtes illégitimes par rebond (CSRF).

ChakraCore

Dix-sept vulnérabilités ont été corrigées dans ChakraCore. Treize d'entre elles peuvent conduire à de l'exécution de code à distance dont douze sont de sévérité critique et une de sévérité importante.

Une des vulnérabilités corrigées concerne le contournement d'une fonctionnalité de sécurité et les trois dernières concernent une vulnérabilité de type divulgation d'information de sévérité critique.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Rappel des publications émises

Dans la période du 08 janvier 2018 au 14 janvier 2018, le CERT-FR a émis les publications suivantes :


Dans la période du 08 janvier 2018 au 14 janvier 2018, le CERT-FR a mis à jour les publications suivantes :

  • CERTFR-2018-ALE-001 : Multiples vulnérabilités de fuite d'informations dans des processeurs