Les mises à jour des systèmes d’exploitation Microsoft sont urgentes ce mois-ci, en raison de la dangereuse vulnérabilité « zero day » du noyau Windows. Chris Goettl, Director, Product Management, Security chez Ivanti, livre comme chaque mois son analyse du Patch Tuesday.
Si vous avez lu mes prévisions de Patch Tuesday pour décembre, vous verrez que la réalité m’a pratiquement donné raison sur tout. On note seulement quelques surprises et inquiétudes supplémentaires.
Résumé du Patch Tuesday de décembre
- Microsoft a publié un total de 17 mises à jour, qui résolvent 39 vulnérabilités uniques. Cela inclut une vulnérabilité « zero day » et une vulnérabilité à divulgation publique. Les logiciels concernés sont Windows, Office, Sharepoint, .Net Framework, Exchange Server et, bien sûr, les navigateurs. Une mise à jour de Flash pour IE avait déjà été publiée, mais n’oubliez pas de l’inclure dans votre session de maintenance, car elle résout des vulnérabilités « zero day » pour Adobe.
- Adobe a publié une mise à jour critique d’Acrobat et de Reader, qui résout 87 vulnérabilités uniques. Adobe a également anticipé le Patch Tuesday en publiant le 20 novembre et le 5 décembre des mises à jour Adobe Flash Player qui résolvent deux vulnérabilités « zero day ».
- Mozilla a publié des mises à jour pour FireFox et FireFox ESR, qui résolvent 11 vulnérabilités uniques.
Microsoft résout une seule vulnérabilité « zero day » concernant le noyau (kernel) Windows (CVE-2018-8611). Cette vulnérabilité pourrait permettre à un pirate d’exécuter une opération Élévation des privilèges afin d’exécuter du code arbitraire en mode Kernel. Ce pirate devrait d’abord se connecter au système, puis exécuter une application spécialement créée à cet effet afin de contrôler le système infecté. Cette vulnérabilité est présente dans tous les systèmes d’exploitation Windows actuellement pris en charge, de Windows 7 à Server 2019. L’exploitation de cette vulnérabilité a déjà été détectée dans des OS plus anciens, mais son index d’exploitabilité (EI) est de 1 pour Windows 10 et Server 2019.
Microsoft résout une vulnérabilité à divulgation publique de .Net Framework (CVE-2018-8517), qui pourrait permettre un DoS (déni de service) dans les applications Web .Net Framework. Cette vulnérabilité peut être exploitée à distance sans authentification, par émission d’une demande spécialement conçue à l’adresse de l’application vulnérable. Cette vulnérabilité est marquée Important, probablement en raison de la complexité de son exploitation, mais elle a été divulguée publiquement. Cela signifie qu’un nombre suffisant d’informations a été communiqué au public pour que des pirates aient le temps de développer un code d’exploitation pour tirer parti de cette vulnérabilité. Les divulgations publiques augmentent les risques d’exploitation de la vulnérabilité.
Vérifiez que vous avez bien déployé les dernières mises à jour Adobe Flash Player
Dans les jours précédant le Patch Tuesday, Adobe a résolu deux vulnérabilités « zero day » dans Flash Player. Le 20 novembre, CVE-2018-15981 a été résolue par APSB18-44. Cette vulnérabilité a été reconnue dans des attaques réelles, menées par le biais d’un fichier .swf Flash qui exploite la vulnérabilité et installe un malware.
Le 5 décembre, une autre vulnérabilité « zero day » de Flash (CVE-2018-15982) a été résolue par APSB18-42. Cette vulnérabilité avait été observée dans une campagne à grande échelle, et exploitée via un contrôle ActiveX incorporé à un document Microsoft Office.
Priorités
- Les mises à jour des systèmes d’exploitation Microsoft sont urgentes ce mois-ci, en raison de la dangereuse vulnérabilité « zero day » du noyau Windows (CVE-2018-8611).
- Avec deux vulnérabilités « zero day », les mises à jour Adobe Flash pour Desktop, IE, Chrome et autres variantes sont également urgentes. Un système peut comporter plusieurs instances de Flash Player, alors veillez bien à toutes les mettre à jour. C’est très important. CVE-2018-15981 a été résolue par APSB18-44 et (CVE-2018-15982), résolue par APSB18-42.
- Les mises à jour Adobe Acrobat Reader et Acrobat résolvent de très nombreuses vulnérabilités. Vous devez donc mettre ces produits à jour dès que possible.
- La mise à jour Mozilla Firefox résout plusieurs vulnérabilités critiques et nécessite votre attention également, car le navigateur est un point d’entrée facile pour les pirates qui ciblent l’utilisateur.
Java SE 8 : fin des mises à jour publiques
Oracle CPU en janvier – N’oubliez pas que les mises à jour publiques de Java SE 8 cessent d’être disponibles en janvier 2019. Java SE 11 est la prochaine version prise en charge à long terme. Si vous n’avez pas commencé, c’est un chemin de migration idéal pour bénéficier d’un support à long terme. Si vous ne pouvez pas encore prendre ce virage, Oracle va publier des mises à jour privées, qui seront disponibles contre paiement supplémentaire.