Microsoft a publié aujourd’hui 17 mises à jour. Elles résolvent 60 vulnérabilités distinctes. Parmi elles, 2 vulnérabilités déjà rendues publiques et exploitées. Voici le compte-rendu et les conseils de Todd Schell, Manager produits Correctifs et Sécurité chez Ivanti, pour les lecteurs de Solutions Numériques.
Microsoft a également publié le document Advisory 180018, il traite d’un nouvelle version de Meltdown et Spectre. Ce document de conseils Microsoft contient des consignes pour lutter contre la variante L1TF. Il mentionne trois vulnérabilités : CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646. D’après Microsoft, « des vulnérabilités du canal secondaire d’exécution spéculative, comme la faille L1 Terminal Fault (L1TF), peuvent servir à lire le contenu de la mémoire à travers une frontière de confiance, et l’exploitation de ces vulnérabilités peut provoquer la divulgation d’informations ». Pour corriger ces vulnérabilités, il faut mettre à jour à la fois les logiciels et le firmware (microcode). Pour résoudre le problème, Microsoft recommande de désactiver l’hyperthreading, ce qui peut avoir un impact majeur sur les performances.
Les deux vulnérabilités « Zero Day » sont CVE-2018-8373 et CVE-2018-8414. Toutes deux ont été divulguées et exploitées. CVE-2018-8373 concerne la façon dont le moteur de scripts gère les objets en mémoire dans Internet Explorer. Elle peut permettre une exécution de code à distance, et attribue les mêmes privilèges que ceux de l’utilisateur connecté, y compris les droits d’administrateur. Comme cette vulnérabilité est présente dans IE 9, 10 et 11, elle affecte tous les systèmes d’exploitation Windows, de Server 2008 à Windows 10. La vulnérabilité d’exécution de code CVE-2018-8414 apparaît lorsque le Shell Windows ne valide pas correctement les chemins de fichier. Elle peut également permettre une exécution de code à distance avec les privilèges de l’utilisateur connecté. Cette vulnérabilité est présente uniquement dans Windows 10 1703 et supérieur, Server 1709 et Server 1803.
Vu le grand nombre de mises à jour de sécurité non-Microsoft publiées ce mois-ci, on s’attendait à davantage de mises à jour Adobe. Comme d’habitude, Flash Player a été mis à jour (5 vulnérabilités). Cependant, après la mise à jour planifiée du mois dernier, qui corrigeait 104 vulnérabilités, on ne pensait pas voir une nouvelle mise à jour Reader et Acrobat corrigeant seulement deux nouvelles vulnérabilités critiques. Des mises à jour ont été publiées pour Creative Cloud et d’autres produits Adobe, alors n’oubliez pas de vérifier votre routine d’application de correctifs Adobe ce mois-ci.
PatchTues-Poster-Aug2018_update (1)