Mise à jour mensuelle de Microsoft
Le 13 février 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante quatre vulnérabilités ont été corrigées, parmi lesquelles quatorze d’entre elles sont considérées comme critiques, trente-huit comme importantes et deux comme modérées. Les produits suivants sont affectés :
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- ChakraCore
- Adobe Flash
Navigateurs
Deux vulnérabilités permettant une exécution de code arbitraire à distance ont été corrigées dans le navigateur Internet Explorer. La vulnérabilité CVE-2018-0840 est considérée comme critique et la vulnérabilité CVE-2018-0866 comme importante. Toutes deux ont été trouvées dans le moteur de script.
Quatorze vulnérabilités ont été corrigées pour le navigateur Microsoft Edge. Onze d’entre elles sont des vulnérabilités d’exécution de code arbitraire à distance. Dix sont critiques et une est importante. Elles ont toutes été corrigées dans ChakraCore, l’un des moteurs de script du navigateur.
Deux vulnérabilités de divulgation d’informations ont également été corrigées dans Edge. La vulnérabilité CVE-2018-0763 est notée critique et la vulnérabilité CVE-2018-0839 est considérée comme importante.
La vulnérabilité CVE-2018-0771 permet de contourner les restrictions de stratégie de même origine (Same Origin Policy). Elle est considérée modérée et a été publiée publiquement.
Microsoft a également intégré le dernier correctif du Adobe Flash Player, qui a été publié en avance de phase par Adobe car la vulnérabilité CVE-2018-4878 était activement exploitée dans le cadre d’attaques ciblées.
Bureautique
Onze vulnérabilités ont été corrigées pour les suites Office. Sept d’entre elles permettent des exécutions de code arbitraire à distance. La vulnérabilité CVE-2018-0852 est considérée comme critique, toutes les autres sont jugées importantes.
La vulnérabilité CVE-2018-0853 peut, en cas de variables non initialisées, permettre à un logiciel Office de lire des portions de mémoire hors-limite et ainsi divulguer de l’information.
Les vulnérabilités CVE-2018-0864 et CVE-2018-0869 permettent à un attaquant authentifié d’envoyer des requêtes malveillantes à un serveur Sharepoint afin d’effectuer une attaque de type injection de code indirecte à distance (XSS).
La vulnérabilité CVE-2018-0850 permet une élévation de privilège car Office ne valide pas entièrement la mise en forme des messages électroniques entrants avant de traiter leur contenu.
Windows
Vingt-sept vulnérabilités ont été corrigées dans Windows.
La vulnérabilité CVE-2018-0825 permet une exécution de code arbitraire à distance. Elle affecte le composant StructuredQuery et est jugée critique.
Treize vulnérabilités importantes d’élévation de privilège ont été corrigées. La plupart étaient présentes dans le noyau de Windows.
Onze vulnérabilités importantes permettent une divulgation d’informations.
La vulnérabilité CVE-2018-0827 permet de contourner Device Guard, une mesure de sécurité de Windows dont le but est de contrôler l’intégrité du code du mode utilisateur. Ceci dans le but d’exécuter du code malveillant. Microsoft note que cette attaque ne peut être réalisée qu’en local.
La vulnérabilité CVE-2018-0833 permet un déni de service en exploitant une faille dans l’implémentation du client Microsoft Server Message Block 2.0 et 3.0 (SMBv2/SMBv3).
Recommandations
Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.
Project Zero
Le 15 février 2018, Google a publié publiquement l’existence d’une vulnérabilité dans Arbitrary Code Guard (ACG). ACG est une fonctionnalité de sécurité dans Microsoft Edge qui est présente depuis février 2018. Son but est de rendre non modifiables certaines pages en mémoire afin d’empêcher que du code, ayant passé les vérifications de sécurité, ne soit remplacé à la volée par du code malveillant.
Cette vulnérabilité ne permet pas d’exécuter du code arbitraire à distance. Elle peut toutefois être combinée avec d’autres vulnérabilités pour déboucher sur une attaque réussie. Cette vulnérabilité impacte Edge sur Windows 10 et ne possède pour l’instant pas de correctif.
Billet Project Zero:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1435
Rappel des avis émis
Dans la période du 12 au 18 février 2018, le CERT-FR a émis les publications suivantes :
- CERTFR-2018-AVI-077 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2018-AVI-078 : Multiples vulnérabilités dans SCADA les produits Schneider Electric
- CERTFR-2018-AVI-079 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2018-AVI-080 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-081 : Vulnérabilité dans Google Chrome
- CERTFR-2018-AVI-082 : Multiples vulnérabilités dans Adobe Acrobat et Reader
- CERTFR-2018-AVI-083 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-084 : Multiples vulnérabilités dans Microsoft IE
- CERTFR-2018-AVI-085 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2018-AVI-086 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2018-AVI-087 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2018-AVI-088 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2018-AVI-089 : Multiples vulnérabilités dans SCADA les produits Schneider Electric
