patch tuesday
Produits et Services PRODUITS & SERVICES

Patch Tuesday du mois de Juillet : 2 failles zero-day et 15 autres critiques corrigées !

Le Patch Tuesday de ce mois propose des correctifs pour 77 vulnérabilités au total, dont 15 sont considérées comme critiques, sans oublier deux failles zero-day afin de rendre les choses encore plus intéressantes.

Cependant, avec un système d’exploitation tel que Microsoft, utilisé par autant de machines, les chiffres ne nous racontent pas tout.

Dans le Patch Tuesday de ce mois-ci, les navigateurs Edge et Internet Explorer 11 de Microsoft (avec la présence de deux overlaps à souligner), sont corrigés pour traiter respectivement sept et six failles de sécurité, toutes classées comme critiques et toutes étant des failles d’exécution de code à distance (RCE) dans la partie la plus vulnérable du navigateur : le moteur de script web.

Il convient d’attirer l’attention sur ce point, car il est facile de négliger la sécurité des logiciels fournis avec Windows 10, que certains utilisateurs n’utilisent que très peu, voire pas du tout.

Comme expliqué dans un précédent article, c’est particulièrement le cas avec IE 11 : en effet, de nombreux utilisateurs Windows 10 ne réalisent même pas qu’il existe, mais il a néanmoins un rôle de maintien d’une certaine compatibilité amont. Comparez-le à la version 1903 de Windows 10 64 bits, qui n’est concernée que par une seule faille critique, CVE-2019-1102.

Les failles zero-day

Les deux failles zero-day : CVE-2019-0880 et CVE-2019-1132, et deux failles d’élévation de privilèges (EoP) sont actuellement exploitées dans la nature par des groupes de cybercriminels anonymes. La première affecte splwow64, le spooler d’impression Windows, alors que la seconde concerne Win32k.

Bien que les deux soient considérées comme “importantes”, à savoir un cran en dessous de celles considérées comme “critiques”, les rois de la mise à jour ne s’encombreront pas vraiment avec de telles subtilités. Très probablement, cela signifie en pratique qu’elles doivent être utilisées en conjonction avec d’autres failles, mais au final chacune d’elles a été détectée dans de tels scénarios (nous attendons plus de détails en provenance des entreprises qui les ont signalées).

Des failles divulguées

Le Patch Tuesday de Microsoft a également corrigé cinq vulnérabilités révélées publiquement, notamment le bug de déni de service CVE-2019-0865 dans la bibliothèque cryptographique SymCrypt Windows 8/10, rendu public le mois dernier par Project Zero de Google.

Les quatre autres sont CVE-2018-15664 (une EoP visant Docker), CVE-2019-0962 (affectant Azure), CVE-2019-1068 (une RCE visant les serveurs MS-SQL) et CVE-2019-1129 (une EoP visant Windows appXSVC).

C’est devenu un vrai travail de titan que de suivre la séquence des vulnérabilités (et corriger les contournements éventuels) divulguées par le chercheur appelé SandboxEscaper. Ce mois-ci, nous en avons une autre sous le pseudonyme de Polar Bear : CVE-2019-1130, également dans appXSVC.

Le correctif pour BitLocker

Enfin, alors qu’Adobe a presque pris un bon mois de repos (à l’exception de trois avis concernant Dreamweaver, Experience Manager et Bridge), le bulletin de juillet 2019 propose un correctif général affectant la sécurité, décrit par Microsoft comme traitant le problème suivant :

Un problème peut amener BitLocker à passer en mode de récupération si BitLocker est mis à disposition en même temps que les mises à jour sont installées.

Vous pouvez en savoir plus sur les mises à jour Patch Tuesday de ce mois-ci en vous rendant sur le blog Sophos.


Billet inspiré de Two zero days and 15 critical flaws fixed in July’s Patch Tuesday, sur Sophos nakedsecurity.