Mises à jour urgentes de Janvier 2019 ! Des failles de sécurité corrigées dans Microsoft et Adobe

Cybersécurité

Au programme : 49 correctifs avec des CVE associées, deux avertissements concernant Adobe et le “servicing stack updates” de Windows 10 avec “seulement” sept failles de sécurité considérées comme “critiques” !

failles de securite

Après une série de mises à jour bien fournies en octobre, novembre et décembre, le premier Patch Tuesday de cette nouvelle année promet d’être un peu plus léger.

Au total, il y a 49 correctifs avec des CVE associées, deux avertissements concernant Adobe et le “servicing stack updates” de Windows 10 (voir ci-dessous), avec “seulement” sept failles de sécurité considérées comme “critiques”.

Une tendance, observée depuis quelques mois, et qui se confirme concerne l’absence de faille zero-day, sauf une faille concernant l’exécution de code à distance (RCE) dans le moteur de base de données Jet (CVE-2019-0579), qui a été publiquement révélée, lui conférant ainsi une “importance” toute particulière dans son évaluation.

Il est intéressant de noter que Jet est responsable de 11 CVE, remportant ainsi le prix du composant le plus corrigé de ce mois-ci, devançant le noyau du système d’exploitation, SharePoint et Office qui comportent 4 failles de sécurité chacun.

Les sept failles de sécurité classées comme critiques sont toutes des RCE, y compris CVE-2019-0547 dans le client DHCP Windows pour toutes les versions de Windows 10 1803, qui, compte tenu du retard de 1809 (mise à jour d’octobre 2018), seront toujours en cours d’exécution.

CVE-2019-0550 et CVE-2019-0551 sont des RCE affectant Windows Hyper-V, tandis que CVE-2019-0565 est une faille de corruption de mémoire dans le navigateur Edge.

Trois failles de corruption de mémoire dans le moteur de script Chakra, CVE-2019-0539, CVE-2019-0568 et CVE-2019-0567, viennent s’ajouter à celles-ci.

CVE-2019-0622, un bug au niveau de l’élévation des privilèges affectant l’application Android Skype qui, selon des signalements de la semaine dernière, pourrait permettre à une personne ayant un accès physique de contourner le verrouillage de l’écran d’Android, en donnant ainsi un accès aux photos et aux contacts.

Pour les utilisateurs de Windows 10 1703 (mise à jour Creators d’avril 2017), Microsoft recommande aux utilisateurs d’installer d’abord les mises à jour de maintenance (SSU), la partie de Windows responsable de la mise à jour.

Exchange

CVE-2019-0586 est l’une des curiosités de ce mois-ci. Microsoft la considère comme “importante” plus que comme “critique”, en dépit de l’analyse plutôt alarmante faite par l’entreprise :

L’exploitation de cette vulnérabilité nécessite l’envoi d’un courrier électronique spécialement conçu à un serveur Exchange vulnérable.  

Au moins un expert a fait remarquer qu’Exchange étant un serveur de messagerie, il ne constituerait peut-être pas un obstacle majeur si les attaquants savaient comment élaborer l’exploit approprié.

Si vous utilisez Exchange, mettez-le tout en haut de votre liste de “test et déploiement”.

Adobe

Les mises à jour Adobe dans Patch Tuesday correspondent à APSB19-01 de la semaine dernière (une mise à jour Flash non liée à la sécurité) et à APSB19-02 (Acrobat/Reader) qui corrige les failles de sécurité critiques CVE-2018-16011 et CVE-2018-1618.

Une bonne surprise est qu’il n’y a pas de nouvelles failles de sécurité Flash ce mois-ci. Au rythme avec lequel Adobe a publié des correctifs urgents ces derniers mois, la diminution du nombre d’utilisateurs du logiciel était certainement due à une pause bien nécessaire !


Billet inspiré de Update now! Microsoft and Adobe’s January 2019 Patch Tuesday is here, sur Sophos nakedsecurity.

2 Commentaires

Bonjour Sophos,
J’apprécie vraiment toutes les les infos et alertes que vous nous transmettez. Bravo et merci!
Mais, c’est quoi ça « Leave a reply » sur un site français? Je suis au Québec où nous luttons depuis des siècles pour la qualité du français, et sa survie. L’anglicisation de la France est très douloureuse à constater pour nous les Québécois.
Alors, SVP, essayez de parler français pour vrai! Oubliez le soi-disant « Glamour » des mots anglais qui parsèment le langage en France. Les USA sont très loin d’être en phase « Glamour » en ce moment, de toute façon! Excellent moment pour vous en détacher.

Reply

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.