Mise à jour mensuelle de Microsoft
Le 13 novembre 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-trois vulnérabilités ont été corrigées, parmi lesquelles douze sont considérées comme critiques et quarante-neuf comme importantes. Les produits suivants sont affectés :
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- ChakraCore
- .NET Core
- Skype Entreprise
- Azure App Service sur Azure Stack
- Team Foundation Server
Navigateurs
Deux vulnérabilités ont été corrigées pour ce mois de novembre 2018 dans le navigateur Internet Explorer.
Il s’agit dans les deux cas de vulnérabilités pouvant conduire à une exécution de code à distance. Toutes deux ont été évaluées comme étant d’une sévérité importante et trouvent leur origine dans un problème de corruption de la mémoire.
Le navigateur Microsoft Edge bénéficie quant à lui de onze correctifs pour le mois de novembre.
Huit d’entre eux concernent des problèmes de sécurité considérés comme critiques. Chacune de ces vulnérabilités pourraient mener à une exécution de code à distance dans le navigateur de Microsoft. Toutes ces failles ont pour origine une altération de la mémoire dans le moteur de scripts utilisé par le navigateur, Chakra.
Les trois autres failles corrigées pour ce produit sont jugées d’une sévérité importante. Il s’agit dans le premier cas d’une vulnérabilité d’élévation de privilèges. La seconde faille, identifiée comme CVE-2018-8545, permettrait à un attaquant de faire fuiter des informations sur les pages web consultées dans Microsoft Edge. Enfin, le dernier correctif de cette catégorie concerne un risque d’usurpation d’identité qui, s’il était exploité, pourrait permettre de faire passer pour légitime un site qui ne l’est pas.
Bureautique
Quinze vulnérabilités ont été corrigées dans les différents composants de la suite Office.
Microsoft adresse des problèmes de sécurité importants d’exécution de code pour neuf des vulnérabilités. Ces failles touchent aussi bien l’outil de messagerie de la firme, Outlook, que l’application de traitement de textes Word, le tableur Excel ou encore l’outil de gestion de projets Microsoft Project.
Cinq autres vulnérabilités, elles aussi importantes, sont corrigées lors de cette mise à jour mensuelle. Pour trois d’entre elles, il s’agit de failles pouvant conduire à une divulgation d’informations. Cela peut par exemple prendre la forme d’un défaut sur la limitation des accès lors du partage de fichiers joints dans Microsoft Outlook, comme dans le cas de la CVE-2018-8579. Les deux autres correctifs concernent eux un risque d’élévation de privilège dans Microsoft SharePoint.
Le dernier correctif pour les outils bureautiques corrige une vulnérabilité avec un impact estimée comme faible et pouvant mener à un déni de service.
Windows
Les produits Windows reçoivent vingt-quatre correctifs lors cette mise à jour mensuelle.
Cinq de ces corrections permettent d’empêcher un risque d’exécution de code à distance. Deux des vulnérabilités ainsi corrigées sont évaluées comme d’une sévérité importante quand les trois autres sont, elles, considérées comme critiques. Parmi celles-ci, la CVE-2018-8476 touche le serveur TFTP des services de déploiements Windows.
Neuf autres failles impactant Windows pourraient conduire à une élévation de privilèges. Tous notés comme importants, ces problèmes de sécurité affectent des bibliothèques logicielles comme DirectX ou des composants du système comme Win32k. Dans ce dernier cas, la faille identifiée comme CVE-2018-8589 permettrait d’exécuter du code dans le contexte du système local. Il est à noter que cette vulnérabilité a été reportée par Microsoft comme étant activement exploitée.
La mise à jour de l’éditeur pour le mois de novembre corrige également cinq problèmes de sécurité conduisant à une divulgation d’informations. Les vulnérabilités regroupées ici sous cette appellation pourraient être utilisées pour obtenir des informations mémoires de nature à faciliter une compromission complète du système.
Enfin, les derniers correctifs, tous classifiés comme importants, concernent un problème d’usurpation d’identité, un risque de falsification d’éléments du système ainsi que trois risques de contournement de plusieurs mécanismes de sécurité. Dans cette dernière catégorie, la vulnérabilité CVE-2018-8566, rendue publique avant la parution du bulletin de Microsoft, affecte le système de chiffrement de données BitLocker. Une erreur lors de la suspension des opérations de chiffrement pourrait conduire un attaquant ayant un accès physique à la machine à obtenir des données.
Produits Microsoft
Le cadriciel .NET reçoit un correctif. La vulnérabilité CVE-2018-8416, considérée comme d’un impact modéré, peut entraîner l’écriture de fichiers et dossiers sur un système vulnérable.
Pour les autres produits Microsoft, l’éditeur publie vingt-et-un correctifs pour cette mise à jour mensuelle. Neuf sont notés comme critiques et concernent un risque d’exécution de code à distance. On retrouvera également dans cette catégorie trois vulnérabilités importantes d’identifiants CVE-2018-8569, CVE-2018-8529 et CVE-2018-8256.
Six vulnérabilités importantes d’usurpation d’identité sont aussi corrigées. Parmi celles-ci, quatre d’entre elles affectent Microsoft Dynamics 365 en version 8 et trouvent toutes leurs origines dans des failles XSS. Enfin, les trois dernières vulnérabilités corrigées ce mois sont, pour les deux premières, considérées comme importantes, menant respectivement à une élévation de privilèges et une falsification, et pour la dernière d’un impact faible causé par un déni de service.
Rappel des avis émis
Dans la période du 12 au 18 novembre 2018, le CERT-FR a émis les publications suivantes :
- CERTFR-2018-AVI-539 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2018-AVI-540 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2018-AVI-541 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-542 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2018-AVI-543 : SCADA Multiples vulnérabilités dans les produits Siemens
- CERTFR-2018-AVI-544 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2018-AVI-545 : Multiples vulnérabilités dans Juniper Junos OS
- CERTFR-2018-AVI-546 : Vulnérabilité dans VMware vRealize Log Insight
- CERTFR-2018-AVI-547 : Vulnérabilité dans Adobe Acrobat et Reader
- CERTFR-2018-AVI-548 : Vulnérabilité dans Adobe Flash Player
- CERTFR-2018-AVI-549 : Multiples vulnérabilités dans Microsoft IE
- CERTFR-2018-AVI-550 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2018-AVI-551 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2018-AVI-552 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2018-AVI-553 : Vulnérabilité dans Microsoft .Net
- CERTFR-2018-AVI-554 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2018-AVI-555 : Vulnérabilité dans Prim’X ZoneCentral
- CERTFR-2018-AVI-556 : Vulnérabilité dans Asterisk
- CERTFR-2018-AVI-557 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2018-AVI-558 : Multiples vulnérabilités dans le noyau Linux de SUSE
