Objet: Bulletin d’actualité CERTFR-2019-ACT-002

Mise à jour mensuelle de Microsoft

Le 8 janvier 2019, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante vulnérabilités ont été corrigées, parmi lesquelles huit sont considérées comme critiques et quarante comme importantes. Deux autres problèmes de sécurité d’impact modéré sont également corrigés. Les produits suivants sont affectés :

• Adobe Flash Player
• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
• ChakraCore
• Cadriciel .NET
• ASP.NET
• Microsoft Exchange Server
• Microsoft Visual Studio

Navigateurs

Lors de ce correctif du mois de janvier 2019, Microsoft a corrigé deux vulnérabilités dans son navigateur Internet Explorer.

Toutes deux peuvent conduire à une exécution de code à distance et sont évaluées comme importante pour la première et critique pour la seconde. Cette seconde faille, identifiée en tant que CVE-2018-8653, est activement exploitée selon les informations de Microsoft. Elle a en outre fait l’objet d’un correctif en dehors du cycle mensuel de mise à jour le 19 décembre 2018, qui aura conduit à la publication de l’alerte du CERT-FR de référence CERTFR-2018-ALE-013.

Cinq vulnérabilités sont corrigées dans Microsoft Edge lors de cette mise à jour mensuelle.

Quatre d’entre elles, jugées critiques, peuvent mener à une exécution de code à distance. Il s’agit dans trois de ces cas de problèmes de gestion de la mémoire dans le moteur de script Chakra utilisé par le navigateur.
La dernière vulnérabilité corrigée ce mois pour Edge concerne un risque d’élévation de privilèges estimé comme important par l’éditeur.

Bureautique

Les différents composants de la suite Office reçoivent des correctifs pour neuf vulnérabilités importantes.

Pour deux d’entre elles, d’identifiants CVE-2019-0585 et CVE-2019-0541, il s’agit d’un problème de sécurité menant à une exécution de code à distance. La première affectera le logiciel de traitement de texte Word quand la seconde touchera, elle, le logiciel Excel Viewer.

Parmi les autres correctifs fournis pour la suite de bureautique de Microsoft, trois adressent un risque d’usurpation d’identité dans Microsoft SharePoint causé par des vulnérabilités de type script de site à site (XSS). Trois autres concernent des problèmes de divulgation d’informations, à l’image de la CVE-2019-0559 impactant Microsoft Outlook. Enfin, le dernier correctif s’applique pour la vulnérabilité CVE-2019-0562, une élévation de privilèges dans Microsoft SharePoint.

Windows

Pour le mois de janvier 2019, vingt-sept correctifs sont apportés à Windows.

Il s’agit dans la majorité des cas – quatorze des failles corrigées – d’un risque d’exécution de code arbitraire. Parmi ces failles, trois sont jugées critiques. Elles affectent le système de virtualisation Hyper-V pour les vulnérabilités CVE-2019-0550 et CVE-2019-0551 et le client DHCP pour la vulnérabilité CVE-2019-0547. Les onze autres sont considérées comme importantes et touchent toutes le moteur de base de données Jet.
Huit autres correctifs importants en lien avec une élévation de privilèges, ainsi que cinq autres, là aussi important, pour des risques de divulgation d’informations dans le noyau Windows ou dans le sous-système Windows pour Linux, sont également disponibles.

Produits Microsoft

Le cadriciel .NET reçoit trois correctifs de sécurité, tous trois importants. Les deux premiers correspondent à deux vulnérabilités de déni de service, identifiées comme CVE-2019-0548 et CVE-2019-0564 et affectant ASP.NET Core, le dernier à un problème de divulgation d’informations.

Parmi les autres produits Microsoft, neuf vulnérabilités sont corrigées.
Cinq d’entre elles concernent un risque d’exécution de code à distance, critique dans trois des cas, important pour l’un et modéré pour le dernier. Dans ces deux derniers cas, les vulnérabilités CVE-2019-0586 et CVE-2019-0546 affectent respectivement Microsoft Exchange et Visual Studio.
Les autres correctifs disponibles dans cette catégorie concernent des vulnérabilités importantes de divulgation d’informations et d’usurpation d’identité, ainsi qu’un risque d’élévation de privilèges dans Skype pour Android d’un impact jugé modéré.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Documentation

• Notes de publication Microsoft du 8 janvier 2019
  https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/b4384b95-e6d2-e811-a983-000d3a33c573

• Guide des mises à jour de sécurité Microsoft
  https://portal.msrc.microsoft.com/fr-fr/security-guidance

• Alerte du CERT-FR CERTFR-2018-ALE-013
  https://cert.ssi.gouv.fr/alerte/CERTFR-2018-ALE-013/

Rappel des avis émis

Dans la période du 07 au 13 janvier 2019, le CERT-FR a émis les publications suivantes :

• CERTFR-2019-AVI-003 : Multiples vulnérabilités dans Google Android
• CERTFR-2019-AVI-004 : SCADA Multiples vulnérabilités dans les produits Siemens
• CERTFR-2019-AVI-005 : Multiples vulnérabilités dans Wireshark
• CERTFR-2019-AVI-006 : Multiples vulnérabilités dans Microsoft Internet Explorer
• CERTFR-2019-AVI-007 : Multiples vulnérabilités dans Microsoft Edge
• CERTFR-2019-AVI-008 : Multiples vulnérabilités dans Microsoft Office
• CERTFR-2019-AVI-009 : Multiples vulnérabilités dans Microsoft Windows
• CERTFR-2019-AVI-010 : Multiples vulnérabilités dans Microsoft .Net
• CERTFR-2019-AVI-011 : Multiples vulnérabilités dans les produits Microsoft
• CERTFR-2019-AVI-012 : Multiples vulnérabilités dans Cisco Email Security Appliance (ESA)
• CERTFR-2019-AVI-013 : Vulnérabilité dans Symantec Norton App Lock
• CERTFR-2019-AVI-014 : Multiples vulnérabilités dans les produits Juniper
• CERTFR-2019-AVI-015 : Vulnérabilité dans Symantec Reporter
• CERTFR-2019-AVI-016 : Multiples vulnérabilités dans PHP