Microsoft publie des mises à jour pour Microsoft Windows, les navigateurs Internet Explorer et Edge, Microsoft Office et Office 365, Exchange Server, ChakraCore, Secure Boot, Visual Studio, et Azure Stack. Les conseils de Chris Goettl, Director, Product Management, Security, chez Ivanti, pour les lecteurs de SOlutions Numériques.
Microsoft résout ainsi un total de 75 vulnérabilités, notamment une vulnérabilité « Zero Day » d’IE (CVE-2019-1429) et une vulnérabilité Excel (CVE-2019-1457) divulguée publiquement. La mise à jour non-Microsoft la plus intéressante concerne la récente vulnérabilité « Zero Day » Google Chrome (CVE-2019-13720).
Adobe publie des mises à jour de sécurité pour Animate CC, Illustrator CC, Media Encoder et Bridge CC, qui résolvent un total de 11 vulnérabilités. Toutes sont classées Priorité 3. Vous devez tenir compte de certaines dates de fin de vie Windows à la fois ce mois-ci et pour janvier. Si vous continuez à utiliser Windows 7 ou Server 2008 et 2008 R2, vous devez également prendre connaissance des informations supplémentaires figurant dans ce billet de blog Microsoft d’octobre dernier. Il explique comment obtenir une extension du support et vous assurer que vos systèmes y sont prêts.
Attendez avant de déployer les SSU
Rappelez-vous : en octobre, Microsoft a publié des mises à jour de pile de maintenance (SSU) pour l’ensemble de ses produits. En novembre, il publie des SSU pour tous les produits sauf Windows 10 1703. Arrivera un moment où les services de mise à jour de Windows seront un prérequis pour les futures mises à jour des systèmes concernés. Microsoft publie généralement une SSU au moins deux mois avant l’application complète des changements. Le délai le plus court observé entre la publication d’une SSU et le fait qu’elle soit obligatoire pour les mises à jour futures est de deux mois. Ce mois-ci, essayez d’avoir une approche conservative. Faites quelques tests et attendez de voir ce qu’il se passe en décembre avant de vous précipiter pour déployer les SSU.
Déployez le correctif pour IE
Microsoft résout une vulnérabilité critique dans Internet Explorer (CVE-2019-1429), susceptible de permettre à un pirate d’exécuter du code à distance. Le pirate pourrait exécuter un code arbitraire dans le contexte de l’utilisateur actuel en attaquant la mémoire de manière spécifique. Cette vulnérabilité donne seulement au pirate les mêmes droits d’accès que ceux de l’utilisateur final. C’est pourquoi une gestion correcte des privilèges limitera la capacité du pirate à prendre le plein contrôle du système sans autre exploit d’élévation des privilèges. Concernant les vecteurs d’attaque, le pirate peut concevoir un site Web ou incorporer son attaque dans un contrôle ActiveX marqué « sûr pour l’initialisation », dans une application ou un document Office hébergeant le moteur de rendu IE. Une bonne formation à la sécurité traitant des méthodes courantes d’hameçonnage (phishing) et d’attaque ciblant l’utilisateur peut permettre de réduire davantage les risques d’exploitation de cette vulnérabilité. Mais comme son exploitation a d’ores et déjà été constatée, il est fortement recommandé de déployer rapidement le correctif pour éliminer totalement cette vulnérabilité.
Vulnérabilité Excel
Microsoft résout une vulnérabilité à divulgation publique (CVE-2019-1457) d’Excel susceptible de contourner les fonctions de sécurité. Un pirate peut incorporer un contrôle dans une feuille de calcul Excel qui demande l’exécution d’une macro. Les éléments exécutés dans la macro déclenchée en contournant les paramètres de sécurité d’Excel constituent le vrai danger de cette vulnérabilité. Actuellement, l’exploitation de cette vulnérabilité n’a pas été constatée, mais, comme elle a été divulguée publiquement, les pirates ont pris un temps d’avance et peuvent développer un outil pour le faire. Cette vulnérabilité représente donc un danger encore plus grand.
Appliquez des correctifs à vos navigateurs
Il semble qu’il y ait eu récemment toute une série d’attaques sur les navigateurs. En septembre, on a constaté une « Zero Day » Internet Explorer (CVE-2019-1367), suivie par une « Zero Day » Google Chrome publiée le premier novembre. Et maintenant, le Patch Tuesday de novembre présente une « Zero Day » IE (CVE-2019-1429). Appliquez des correctifs à vos navigateurs. La mise à jour Chrome (78.0.3904.87) résout deux vulnérabilités, dont la CVE-2019-13720 citée plus haut. Cette vulnérabilité est une attaque par corruption de la mémoire UAF (Use After Free – utilisation après libération) permettant à un pirate d’exécuter du code malveillant.
Obtenez une extension des mises à jour de sécurité sur les périphériques Windows éligibles
Aujourd’hui, la branche Windows 10 1803 pour les clients utilisant les versions Édition familiale, Pro et Professionnel pour les stations de travail a reçu sa mise à jour de sécurité finale. La prochaine date de fin de vie Windows est le 8 janvier : Windows 7 et Server 2008 et 2008 R2 vont atteindre leur inévitable fin. Mais est-ce vraiment la fin ? Pour certains, il peut exister des moyens pour poursuivre les mises à jour de ces plateformes, parfois gratuitement, parfois de façon payante. Pour en savoir plus, lisez le billet de blog Microsoft du 17 octobre pour savoir comment obtenir une extension des mises à jour de sécurité sur les périphériques Windows éligibles.