Mise à jour mensuelle de Microsoft
Le 12 décembre 2017, Microsoft a publié ses mises à jour mensuelles de sécurité. Trente deux vulnérabilités ont été corrigées, parmi lesquelles dix-neuf sont considérées comme critiques et treize sont considérées importantes. Les produits suivants sont affectés :
- Internet Explorer ;
- Microsoft Edge ;
- Microsoft Windows ;
- Microsoft Office et Microsoft Office Services et Web Apps ;
- Microsoft Exchange Server ;
- ChakraCore ;
- Microsoft Malware Protection Engine.
Navigateurs
Treize vulnérabilités ont été corrigées dans le navigateur Internet Explorer.
Il s’agit pour dix d’entre elles d’un risque d’exécution de code à distance. Toutes ces vulnérabilités ont pour origine une erreur dans la gestion de la mémoire dans le moteur de script. Microsoft considère l’impact potentiel de ces vulnérabilités comme critique pour neuf et comme important pour la dernière.
Les trois autres correctifs apportés au navigateur Internet Explorer concernent des risques de divulgations d’informations. De la même façon que les vulnérabilités pouvant mener à une exécution de code ces failles sont la conséquence d’erreurs dans la gestion de la mémoire dans le moteur de script.
Quatorze vulnérabilités sont corrigées pour Microsoft Edge.
Treize de ces vulnérabilités peuvent conduire à une exécution de code à distance et sont évaluées comme critiques par Microsoft. La dernière vulnérabilité corrigée pour Microsoft Edge concerne une faille relative à une divulgation d’informations. Celle-ci, la CVE-2017-11919, est jugée comme étant d’une sévérité importante.
Outre les changements apportés à ses navigateurs pour le mois de décembre, Microsoft intègre une mise à jour pour le module Flash Player avec un correctif pour la CVE-2017-11305. Cette vulnérabilité critique pourrait permettre à un attaquant de réaliser une exécution de code à distance au travers d’un des navigateurs Microsoft.
Bureautique
Lors de la mise à jour du mois de décembre quatre vulnérabilités sont corrigées dans les composants de la suite Office de Microsoft.
Une vulnérabilité importante, la CVE-2017-11935, peut mener à une exécution de code dans Microsoft Office. Cette faille pourrait être exploitée par un attaquant au travers de l’utilisation d’un document malveillant fourni à une application Microsoft Office.
Deux correctifs pour des vulnérabilités de divulgation d’informations sont aussi mis à disposition ce mois. Ces deux failles sont jugées importantes par Microsoft et concernent Microsoft PowerPoint pour la CVE-2017-11934 et Microsoft Outlook pour la CVE-2017-11939.
Enfin, la dernière vulnérabilité corrigée dans la suite bureautique de Microsoft pour le mois de décembre est liée à une élévation de privilège dans Microsoft SharePoint. Identifiée en tant que CVE-2017-11936, cette faille de type injection de code indirecte à distance (XSS) est considérée comme étant de sévérité importante.
Windows
Trois correctifs sont fournis par Microsoft pour son système d’exploitation Windows pour le mois de décembre. Ces trois vulnérabilités, toutes évaluées comme d’une sévérité importante, concernent un risque d’exécution de code à distance pour l’une d’elle, un risque de divulgation d’informations pour une deuxième et un problème de contournement d’une fonctionnalité de sécurité pour la dernière. Cette dernière faille, la CVE-2017-11899, provient d’une faiblesse dans le dispositif Device Guard lors de la vérification de la signature d’un fichier exécutable.
Produits Microsoft
Seize correctifs sont fournis pour divers produits Microsoft.
Quinze de ces correctifs sont relatifs à des vulnérabilités dans le moteur de script ChakraCore. Il s’agit pour quatorze de ces failles de problème liés à une exécution de code à distance, considérés comme critique pour douze et comme de sévérité importante pour deux. La dernière vulnérabilité impactant le moteur de script se rattache à un souci de divulgation d’informations qui est estimé comme important par Microsoft.
Un correctif est aussi fourni pour une faille pouvant mener à une usurpation d’identité dans Microsoft Exchange. Cette vulnérabilité importante, la CVE-2017-11932, affecte le composant Outlook Web Access (OWA) et permet l’injection de script ou de contenu.
Recommandations
Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.
Documentation
- Bulletin de sécurité Microsoft du 12 décembre 2017
https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/c383fa60-b852-e711-80dd-000d3a32f9b6 - Directive de sécurité Microsoft
https://portal.msrc.microsoft.com/fr-fr/security-guidance
Rappel des avis émis
Dans la période du 11 au 17 décembre 2017, le CERT-FR a émis les publications suivantes :
- CERTFR-2017-ALE-020 : Vulnérabilité dans des implémentations de TLS
- CERTFR-2017-AVI-457 : Multiples vulnérabilités dans SCADA Schneider Electric EcoStruxure Substation Operation
- CERTFR-2017-AVI-458 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2017-AVI-459 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2017-AVI-460 : Multiples vulnérabilités dans Xen
- CERTFR-2017-AVI-461 : Vulnérabilité dans Adobe Flash
- CERTFR-2017-AVI-462 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2017-AVI-463 : Vulnérabilité dans les produits F5
- CERTFR-2017-AVI-464 : Multiples vulnérabilités dans Microsoft IE
- CERTFR-2017-AVI-465 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2017-AVI-466 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2017-AVI-467 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2017-AVI-468 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2017-AVI-469 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2017-AVI-470 : Vulnérabilité dans Apache Struts 2
- CERTFR-2017-AVI-471 : Vulnérabilité dans Fortinet FortiClient
- CERTFR-2017-AVI-472 : Vulnérabilité dans VMWare AirWatch Console
- CERTFR-2017-AVI-473 : Vulnérabilité dans Asterisk
- CERTFR-2017-AVI-474 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2017-AVI-475 : Multiples vulnérabilités dans Google Chrome