La mise à jour Microsoft “Patch Tuesday” du mois d’Octobre a fait son apparition, comme prévue, hier avec des correctifs traitant 49 failles de sécurité au sein de sa famille de produits, dont 12 sont répertoriées comme “critiques”.
Curieusement, l’une des failles les plus intéressantes de ce mois-ci se trouve parmi 35 autres jugées simplement comme “importantes”, à savoir une faille au niveau d’une élévation de privilèges, et identifiée comme CVE-2018-8453, affectant toutes les versions de Windows.
Cette dernière serait, à priori, exploitée par un groupe de hackers de type États-nations, surnommé “FruityArmor”, dont l’utilisation très ciblée pourrait expliquer sa classification légèrement inférieure.
CVE-2010-3190, la faille zombie qui refuse de mourir, est une deuxième CVE considérée comme “modérée”, qui se démarque de façon étrange. Une faille d’exécution de code à distance (RCE), révélée pour la première fois il y a huit ans, et ayant fait l’objet d’au moins deux correctifs depuis. Microsoft déclare maintenant que la faille concerne aussi Exchange Server 2016.
Domaine public
Trois autres failles jugées comme “importantes” méritent d’être signalées car elles relèvent du domaine public. La plus remarquable est CVE-2018-8423, une vulnérabilité d’exécution de code à distance dans le moteur de base de données JET, signifiant ainsi qu’elle se trouve dans de nombreux logiciels, y compris Office. Aucun exploit n’a été détecté, mais elle fait partie du domaine public depuis qu’une entreprise de sécurité a publié les détails, étant donné que le délai de 120 jours fixé pour sortir le correctif a été atteint le mois dernier.
Les deux autres sont CVE-2018-8497, une faille d’élévation de privilèges dans le noyau Windows, et CVE-2018-8531, un problème de corruption de mémoire dans le client SDK d’Azure IoT.
Failles critiques
Douze ici au total, y compris CVE-2018-8473 et CVE-2018-8509 affectant le navigateur Edge, et CVE-2018-8460, affectant Internet Explorer (Edge est également impacté par deux autres notées comme “importantes”, CVE-2018-8512 et CVE -2018-8530).
Quatre vulnérabilités critiques sont liées à la corruption de mémoire dans le moteur de script Chakra, tandis que deux autres sont des RCEs dans Windows Hyper-V.
Bien que CVE-2018-8320 soit considérée comme “importante” plutôt que “critique”, la mise à jour Microsoft corrige une vulnérabilité intéressante dans la blocklist DNS globale de Windows, qui pourrait permettre à un attaquant de contourner ces restrictions.
Des correctifs cachés
Cet article a commencé en mentionnant 49 correctifs de sécurité, mais vous pouvez contester en soulignant qu’il en existe un cinquantième, silencieux, sous la forme d’ADV180026, étiqueté comme une mise à jour de Microsoft Office Defense in Depth. Elle représente une fonctionnalité régulière de Patch Tuesday et semble implémenter des améliorations de programmation de niveau inférieur qui réduisent la probabilité de problèmes de sécurité futurs.
De manière surprenante, cette mise à jour Microsoft d’Octobre ne traite aucun problème au niveau de Flash Player. En effet, la version 31.0.0.122 corrige uniquement des problèmes de performances et de stabilité.
Windows 10 1809
En parallèle, Microsoft a imputé l’effet secondaire d’une fonctionnalité appelée “Known Folder Redirection (KFR)” à des problèmes de suppression de fichiers que certains utilisateurs avaient rencontrés avec la mise à jour de Windows 10 d’octobre 2018, sortie la semaine dernière.
Vous pouvez lire l’explication de Microsoft concernant les événements qui se sont déroulés. L’entreprise affirme que le problème ne concernerait qu'”un centième de un pour cent des installations de la version 1809″, ce qui paraît rassurant jusqu’à ce que vous réalisiez que Windows 10 est installé sur 700 millions d’ordinateurs !
La mise à jour Microsoft a été publiée de nouveau pour les utilisateurs du Programme Insider avec une version globale, qui doit être relancé dès que les nerfs de Microsoft (et de ses utilisateurs) se seront calmés !
Billet inspiré de Update now! Microsoft fixes 49 bugs, 12 are critical, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.