S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 avril 2018
N° CERTFR-2018-ACT-006
Affaire suivie par: CERT-FR
le 16 avril 2018

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2018-ACT-006

Gestion du document

Référence CERTFR-2018-ACT-006
Titre Bulletin d’actualité CERTFR-2018-ACT-006
Date de la première version 16 avril 2018
Date de la dernière version 13 avril 2018
Source(s) https://portal.msrc.microsoft.com/fr-fr/security-guidance
https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/abf77563-8612-e811-a966-000d3a33a34d
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Mise à jour mensuelle de Microsoft

Le 10 avril 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-cinq vulnérabilités ont été corrigées, parmi lesquelles vingt-deux d’entre elles sont considérées comme critiques, quarante-deux comme importantes et une comme modérée. Les produits suivants sont affectés :

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • ChakraCore
  • Adobe Flash Player
  • Microsoft Malware Protection Engine
  • Microsoft Visual Studio
  • Microsoft Azure IoT SDK

Navigateurs

Treize vulnérabilités ont été corrigées pour le navigateur Internet Explorer.

Neuf d’entre elles peuvent conduire à une exécution de code arbitraire à distance. Dans le cas de sept de ces failles l’impact est jugé critique, à l’image de la CVE-2018-1004 qui exploite une faiblesse dans la gestion de la mémoire du moteur VBScript. Microsoft considère les deux dernières vulnérabilités de ce type comme importantes.
Quatre autres corrections sont apportées au navigateur de Microsoft pour des risques de divulgation d’information. Toutes ont pour origine le moteur de script et sont considérées comme critiques pour deux et importantes pour les deux autres.

Microsoft corrige dix vulnérabilités dans le navigateur Edge lors de sa mise à jour mensuelle d’avril.

Il s’agit pour les huit premières failles d’un risque d’exécution de code arbitraire à distance ayant un impact critique et pour les deux dernières d’un problème de divulgation d’informations important. Dans cette dernière catégorie, la CVE-2018-0998 touche par exemple le lecteur PDF de Edge et permet d’obtenir des informations pouvant faciliter la compromission du système.

Microsoft a également intégré le correctif Adobe Flash Player pour les navigateurs Edge et Internet Explorer qui corrige six vulnérabilités, trois critiques en lien avec une exécution de code à distance et trois importantes de divulgation d’informations.

Bureautique

Pour le mois d’avril 2018, Microsoft corrige treize vulnérabilités dans les différents composants de la suite Office.

Sept de ces correctifs s’appliquent pour des failles de sécurité importantes d’exécution de code à distance. Parmi les vulnérabilités corrigées on notera notamment la présence de la CVE-2018-1028 qui touche le composant Microsoft Office Graphics lorsque ce dernier traite des polices de caractères embarquées.
Quatre autres failles importantes pouvant conduire à une élévation de privilèges sont corrigées dans Microsoft Office. Toutes impactent le serveur Microsoft Sharepoint en tirant profit d’erreurs dans la gestion de requêtes web. L’une de ces vulnérabilités, la CVE-2018-1034, avait été rendue publique avant la publication des correctifs de Microsoft du mois d’avril.
Enfin, les vulnérabilités identifiées comme CVE-2018-1007 et CVE-2018-0950, toutes deux provoquant une divulgation d’informations et considérées comme importantes, sont également corrigées lors de cette mise à jour mensuelle.

Windows

Vingt-huit correctifs sont fournis pour les produits Windows.

Il s’agit dans le cas de sept d’entre eux d’une correction pour une vulnérabilité d’exécution de code à distance. Ces failles sont considérées critiques pour les six premières et comme importante pour la dernière.
Douze problèmes de sécurité ayant comme conséquence une divulgation d’informations sont aussi corrigés. Ces failles importantes pouvant faciliter la compromission d’un système affectent toutes le noyau de Windows à l’exception de deux vulnérabilités dans Microsoft Hyper-V. Ces deux dernières, les CVE-2018-0957 et CVE-2018-0964 pourraient permettre à un attaquant depuis un système invité d’obtenir des informations sur l’état de la mémoire au niveau du système d’exploitation hôte.
Deux autres vulnérabilités importantes pouvant conduire à un contournement de la politique de sécurité du système sont corrigées. Parmi celles-ci, une, identifiée comme CVE-2018-0890, impacte Active Directory et permet de contourner les paramètres d’isolement réseau.
Trois failles menant à une élévation de privilèges sont aussi corrigées à l’occasion de cette mise à jour. Toutes trois sont notées comme importantes.
Les quatre derniers correctifs fournis pour Windows concernent des risques de déni de service. Les trois premières failles de cette catégorie sont jugées importantes selon Microsoft. Parmi celles-ci, la vulnérabilité CVE-2018-0956 affecte la  pile du protocole HTTP 2.0 et pourrait conduire au blocage du système à la réception de paquets HTTP conçue à cet effet. La dernière faille pouvant causer un déni de service du système est quant à elle considérée comme d’une sévérité modérée par Microsoft.

Produits Microsoft

Dix failles sont corrigées pour plusieurs produits Microsoft.

Huit de ces correctifs concernent des risques d’exécution de code à distance. Tous sauf un s’appliquent à des vulnérabilités considérées comme critiques qui affectent le moteur de script Chakra notamment utilisé dans le navigateur Edge.
Enfin, deux vulnérabilités importantes sont  également corrigées. La première, la CVE-2018-1037, impacte Microsoft Visual Studio et peut conduire à une divulgation d’informations en rendant disponible des zones mémoires non initialisées. La seconde concerne elle un problème de contournement d’une fonctionnalité de sécurité pour le clavier Wireless Keyboard 850 de Microsoft.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Rappel des avis émis

Dans la période du 09 au 15 avril 2018, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale
    le 13 avril 2018
    Version initiale