Chris Goettl, Manager of Product Management, Security chez Ivanti nous livre en exclusivité son analyse du Patch Tuesday de mars, qui compte 14 mises à jour et 78 vulnérabilités.
Microsoft a publié 14 mises à jour ce mois-ci, notamment pour l’ensemble des systèmes d’exploitation Windows, versions d’IE, Office, SharePoint et serveur Exchange supportés. On compte quelques mises à jour pour ASP.NET Core, Chakra Core et PowerShell Core. Elles ne sont associées à aucun paquet de correctifs à mettre à jour, mais de nouveaux fichiers binaires sont disponibles et doivent être intégrés à votre processus DevOps ce mois-ci pour être inclus dans la prochaine distribution en mode Push vers votre environnement de production.
Ce mois-ci, Microsoft résout 78 vulnérabilités uniques, dont 2 ont été publiquement divulguées. La divulgation publique signifie que suffisamment d’informations ont été rendues publiques pour qu’un pirate prenne de l’avance ou ait potentiellement accès au code du concept, ce qui rend l’exploitation plus probable. Les divulgations du mois affectent Microsoft Exchange Server (CVE-2018-0940) versions 2010 à 2016, et ASP.NET Core 2.0 (CVE-2018-0808). Les deux vulnérabilités divulguées sont classées “Important”. Elles ne sont donc pas critiques, mais le risque d’exploitation est plus élevé en raison de leur divulgation.
Le noyau (Kernel) Windows a attiré beaucoup l’attention ce mois-ci, en raison de la surveillance constante des vulnérabilités Meltdown et Spectre. J’ai arrêté de compter les CVE après la première douzaine. La bonne nouvelle, c’est que je n’ai rien vu qui dépasse le niveau “Important”. Cependant, cela représente de très nombreux changements dans le noyau (Kernel). Testez soigneusement les mises à jour d’OS du mois. Et puisqu’on parle de Meltdown et de Spectre…
Microsoft a publié des mises à jour supplémentaires pour les vulnérabilités Meltdown (ADV180002). Les correctifs cumulatifs mensuels et mises à jour de sécurité uniquement pour Server 2008 et 2012, et pour Windows 7 x86, incluent désormais les fonctions de limitation des risques. C’est pourquoi ces systèmes exigent désormais les clés de registre AV comme dépendance pour que les mises à jour de mars puissent être appliquées. Pour Server 2008 et 2012, l’application des mises à jour du mois installe les fonctions de limitation des risques, mais il faut appliquer des changements au registre pour activer ces fonctions, car elles sont inactives par défaut.
La clé de registre AV est toujours requise pour toutes les mises à jour des OS Microsoft et d’IE ce mois-ci.
Les experts ont déclaré avoir trouvé 13 vulnérabilités dans les processeurs AMD. Ils classent ces vulnérabilités en 4 familles ou catégories. L’une de ces catégories de vulnérabilités, Ryzenfall, est particulièrement dangereuse, car elle pourrait permettre à un pirate de prendre le contrôle du processeur sécurisé. Cette prise de contrôle lui donnerait accès aux données protégées, notamment aux clés de cryptage et aux mots de passe. Préparez-vous à ce qu’AMD publie encore d’autres mises à jour de pilote pour atténuer ces vulnérabilités.
Et n’oubliez pas les applications tierces ! Ce mois-ci, les mises à jour tierces incluent une mise à jour de type “Critique” pour Adobe Flash Player, qui requiert votre attention. Deux CVE de type “Critique” ont été résolues. La mise à jour Google Chrome est sortie la semaine dernière, mais des mises à jour Mozilla Firefox et Firefox ESR ont été publiées, toutes deux marquées “Critique”, pour résoudre 21 CVE uniques. Assurez-vous que Flash Player, ainsi que les navigateurs Chrome et Firefox, sont bien sur votre liste de mises à jour ce mois-ci.
.