Site icon Sophos News

Mises à jour urgentes de Janvier 2019 ! Des failles de sécurité corrigées dans Microsoft et Adobe

failles de securite

Après une série de mises à jour bien fournies en octobre, novembre et décembre, le premier Patch Tuesday de cette nouvelle année promet d’être un peu plus léger.

Au total, il y a 49 correctifs avec des CVE associées, deux avertissements concernant Adobe et le “servicing stack updates” de Windows 10 (voir ci-dessous), avec “seulement” sept failles de sécurité considérées comme “critiques”.

Une tendance, observée depuis quelques mois, et qui se confirme concerne l’absence de faille zero-day, sauf une faille concernant l’exécution de code à distance (RCE) dans le moteur de base de données Jet (CVE-2019-0579), qui a été publiquement révélée, lui conférant ainsi une “importance” toute particulière dans son évaluation.

Il est intéressant de noter que Jet est responsable de 11 CVE, remportant ainsi le prix du composant le plus corrigé de ce mois-ci, devançant le noyau du système d’exploitation, SharePoint et Office qui comportent 4 failles de sécurité chacun.

Les sept failles de sécurité classées comme critiques sont toutes des RCE, y compris CVE-2019-0547 dans le client DHCP Windows pour toutes les versions de Windows 10 1803, qui, compte tenu du retard de 1809 (mise à jour d’octobre 2018), seront toujours en cours d’exécution.

CVE-2019-0550 et CVE-2019-0551 sont des RCE affectant Windows Hyper-V, tandis que CVE-2019-0565 est une faille de corruption de mémoire dans le navigateur Edge.

Trois failles de corruption de mémoire dans le moteur de script Chakra, CVE-2019-0539, CVE-2019-0568 et CVE-2019-0567, viennent s’ajouter à celles-ci.

CVE-2019-0622, un bug au niveau de l’élévation des privilèges affectant l’application Android Skype qui, selon des signalements de la semaine dernière, pourrait permettre à une personne ayant un accès physique de contourner le verrouillage de l’écran d’Android, en donnant ainsi un accès aux photos et aux contacts.

Pour les utilisateurs de Windows 10 1703 (mise à jour Creators d’avril 2017), Microsoft recommande aux utilisateurs d’installer d’abord les mises à jour de maintenance (SSU), la partie de Windows responsable de la mise à jour.

Exchange

CVE-2019-0586 est l’une des curiosités de ce mois-ci. Microsoft la considère comme “importante” plus que comme “critique”, en dépit de l’analyse plutôt alarmante faite par l’entreprise :

L’exploitation de cette vulnérabilité nécessite l’envoi d’un courrier électronique spécialement conçu à un serveur Exchange vulnérable.  

Au moins un expert a fait remarquer qu’Exchange étant un serveur de messagerie, il ne constituerait peut-être pas un obstacle majeur si les attaquants savaient comment élaborer l’exploit approprié.

Si vous utilisez Exchange, mettez-le tout en haut de votre liste de “test et déploiement”.

Adobe

Les mises à jour Adobe dans Patch Tuesday correspondent à APSB19-01 de la semaine dernière (une mise à jour Flash non liée à la sécurité) et à APSB19-02 (Acrobat/Reader) qui corrige les failles de sécurité critiques CVE-2018-16011 et CVE-2018-1618.

Une bonne surprise est qu’il n’y a pas de nouvelles failles de sécurité Flash ce mois-ci. Au rythme avec lequel Adobe a publié des correctifs urgents ces derniers mois, la diminution du nombre d’utilisateurs du logiciel était certainement due à une pause bien nécessaire !


Billet inspiré de Update now! Microsoft and Adobe’s January 2019 Patch Tuesday is here, sur Sophos nakedsecurity.

Exit mobile version