Accueil Cybersécurité Un Patch Tuesday de septembre chargé ! Priorité à tout

Un Patch Tuesday de septembre chargé ! Priorité à tout

Microsoft résout un total de 63 vulnérabilités, dont deux Zero Day exploitées. Google Chrome a résolu une vulnérabilité Zero Day le 11 septembre, Adobe a résolu une vulnérabilité Zero Day d’Acrobat and Reader le 12 septembre et Apple a résolu deux Zero Day le 7 septembre. Côté Linux, il n’y a aucune vulnérabilité Zero Day récente, mais trois vulnérabilités récentes affectent certaines fonctions essentielles du noyau (kernel) Linux, et nécessitent votre attention.

Chris Goettl

 

 

Comme chaque mois pour les lecteurs de Solutions-Numériques, voici l’analyse de Chris Goettl, Vice President of Product Management chez Ivanti

 

 

 

 

Mises à jour Microsoft 

Microsoft résout un total de 63 vulnérabilités ce mois-ci, dont deux vulnérabilités exploitées. Ces vulnérabilités Zero Day concernent Word (CVE-2023-36761) et l’OS Windows (CVE-2023-36802). On attend très bientôt une publication Microsoft Edge (Chromium), alors soyez prêt pour cet ajout, qui comprendra la vulnérabilité exploitée CVE-2023-4863.

  • Microsoft résout une vulnérabilité de divulgation d’informations de Word (CVE-2023-36761), exploitée sur le terrain. Microsoft classe cette vulnérabilité seulement au niveau Important et son score CVSSv3.1 est de 6,2. Cependant, le fait que son exploitation soit confirmée doit la mettre en tête de votre liste de priorités. Le volet Aperçu peut aussi servir de vecteur d’attaque, ce qui facilite le ciblage des utilisateurs en vue d’exploiter cette vulnérabilité. En l’exploitant, un pirate peut obtenir un accès aux hachages NTLM.
  • Microsoft résout une vulnérabilité d’élévation de privilèges dans le proxy de service de streaming Microsoft (CVE-2023-36802). Pour Microsoft, cette vulnérabilité est seulement de niveau Important et son score CVSSv3.1 est de 7,8. Cependant, le fait que son exploitation soit confirmée doit la mettre en tête de votre liste de priorités. En l’exploitant, un pirate peut obtenir des privilèges SYSTEM sur le système cible.

Mise à jour tierce 

  • Google résout une vulnérabilité critique de débordement du tampon de pile dans le navigateur Chrome (CVE-2023-4863). Google sait qu’il existe une exploitation de CVE-2023-4863 sur le terrain. Les instances Windows doivent être mises à jour vers 116.0.5845.187/.188, et 116.0.5845.187 pour MacOS et Linux.
  • Pour Adobe Acrobat and Reader, la mise à jour APSB23-34 résout une vulnérabilité critique (CVE-2023-26369) dont l’exploitation sur le terrain a été confirmée. Cette vulnérabilité est de type écriture hors limites, et peut permettre à un pirate d’exécuter du code arbitraire.
  • Mozilla publie des mises à jour pour FireFox et FireFox ESR. Aucune Zero Day, juste une série complète de CVE résolues.

Mise à jour Linux 

  • Trois CVE à noter pour les plateformes Linux :
    • CVE-2023-3111 est une vulnérabilité Utilisation après gratuité du système de fichiers BTRFS dans le noyau (kernel) Linux, qui affecte toutes les versions de Linux. Ce type de vulnérabilité peut permettre à un pirate de faire fuiter des données depuis la mémoire, d’écraser des informations critiques, d’exécuter du code arbitraire et de contourner la fonction ASLR (Address Space Layout Randomization – Distribution aléatoire de l’espace d’adressage).
    • La CVE-2023-3390 est une vulnérabilité de l’API nftables du noyau Linux, dans le sous-système netfilter, qui peut permettre l’élévation des privilèges. Cette vulnérabilité concerne Debian et Ubuntu.
    • La CVE-2023-35001 est une vulnérabilité de lecture/écriture hors limites de nftables. Ce type de vulnérabilité peut provoquer un plantage, la corruption des données, l’exécution de code, voire permettre à un pirate de lire des informations sensibles depuis d’autres emplacements mémoire.
  • Les changements affectent deux composants du noyau (kernel) Linux fréquemment utilisés. Ces composants servent aussi à différentes solutions, des pare-feux aux SAN, et peuvent impacter des fonctions fondamentales.
    • BTRFS est le système de fichiers utilisé par la plupart des versions d’Enterprise Linux (Ubuntu, Debian, Redhat, etc.).
    • Nftables est utilisé par toutes les solutions de pare-feu modernes. Quelle que soit la version de Linux, elle est soit intégrée au système proprement dit, soit utilisée par des applications tierces. Ce composant assure une inspection et un routage hautes performances des paquets.  
  • Aucune de ces vulnérabilités n’est exploitée actuellement, ce qui vous laisse du temps, mais vous devez en profiter pour veiller à tester correctement ces changements dans tout votre environnement.
  • Pour surveiller les dernières CVE Linux, découvrez l’outil de suivi détaillé des CVE TuxCare.

Mise à jour Apple 

Apple a publié le 7 septembre des mises à jour pour résoudre deux vulnérabilités exploitées. Ces mises à jour concernent iOS, iPadOS et macOS. On a confirmé l’exploitation sur le terrain de ces deux CVE et la CISA a mis à jour la liste KEV pour y ajouter ces deux vulnérabilités.

  • CVE-2023-41061 est une vulnérabilité Apple Wallet qui concerne iPhone et iPad. Avec cette vulnérabilité, un pirate peut créer une pièce jointe spécialement conçue pour lui permettre d’exécuter du code arbitraire.
  • CVE-2023-41064 est une vulnérabilité Apple ImageIO qui concerne iPhone, iPad et macOS. Cette vulnérabilité peut servir à concevoir une image malveillante, dont le traitement permet au pirate d’exécuter du code arbitraire.

Priorités de mise à jour pour septembre 

  • OS Windows, macOS, iPhone, iPad, tous les navigateurs et Adobe Acrobat and Reader. Pratiquement tout, en fait…