S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 juin 2018
N° CERTFR-2018-ACT-011
Affaire suivie par: CERT-FR
le 18 juin 2018

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2018-ACT-011

Gestion du document

Référence CERTFR-2018-ACT-011
Titre Bulletin d’actualité CERTFR-2018-ACT-011
Date de la première version 18 juin 2018
Date de la dernière version 13 août 2018
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Mise à jour mensuelle de Microsoft

Le 12 juin 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante et une vulnérabilités ont été corrigées, parmi lesquelles onze d’entre elles sont considérées comme critiques et quarante comme importantes. Les produits suivants sont affectés :

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • ChakraCore
  • Adobe Flash Player

Navigateurs

Pour le mois de juin 2018, quatre vulnérabilités ont été corrigées pour le navigateur Internet Explorer.

Trois sont des vulnérabilités d’exécution arbitraire de code à distance. Parmi celles-ci les vulnérabilités CVE-2018-8249 et CVE-2018-8267 sont considérées critiques. A noter que la vulnérabilité CVE-2018-8267 a été rendue publique. La vulnérabilité CVE-2018-0978 est également de type exécution de code arbitraire à distance, toutefois sa sévérité est notée importante. La quatrième vulnérabilité qui impacte Internet Explorer est identifiée par la CVE-2018-8113 et il s’agit d’un contournement de la politique de sécurité.

Microsoft corrige huit vulnérabilités pour Edge lors sa mise à jour mensuelle de juin.

Cinq permettent une exécution de code arbitraire à distance, parmi lesquelles quatre sont critiques et une est importante.

Un correctif pour Adobe Flash Player est également intégré par Microsoft à sa mise à jour mensuelle. Ce dernier adresse une vulnérabilité critique d’exécution de code qui pourrait être exploitée au travers des navigateurs Internet Explorer et Edge.

Bureautique

Huit vulnérabilités sont corrigées dans les différents composants de la suite Office.

Deux des vulnérabilités sont de type exécution de code arbitraire à distance. La vulnérabilité CVE-2018-8248 impacte Office et est jugée importante. La vulnérabilité CVE-2018-8176 concerne Powerpoint et sa sévérité est aussi jugée importante. Cette dernière a également été révélée publiquement avant la sortie du correctif.

Excel, les serveurs Office et Publisher sont respectivement touchés par les vulnérabilités CVE-2018-8254, CVE-2018-8246 et CVE-2018-8245, qui sont de type élévation de privilèges et de sévérité importante. Deux vulnérabilités du même type et de même sévérité sont également corrigées dans SharePoint : CVE-2018-8252 et CVE-2018-8254.

La vulnérabilité CVE-2018-8246 touche Excel et permet une divulgation d’informations.

Windows

Trente correctifs sont fournis pour les différents composants de Windows.

Six sont de type exécution de code arbitraire à distance ; quatre sont critiques et deux importants.

Le reste des vulnérabilités corrigées est jugé de sévérité importante et se répartit comme suit : neuf vulnérabilités de type élévation de privilèges, sept contournements de la fonctionnalité de sécurité, quatre divulgations d’informations et quatre dénis de service.

Produits Microsoft

Trois vulnérabilités sont corrigées dans ChakraCore, l’un des moteurs d’exécution de script de Windows. Elles sont toutes trois de type exécution de code arbitraire à distance. Les vulnérabilités CVE-2018-8227 et CVE-2018-8229 sont notées critiques et impactent également le navigateur Edge. La vulnérabilité CVE-2018-8227 est de sévérité importante.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Rappel des avis émis

Dans la période du 11 au 17 juin 2018, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 13 août 2018
    Version initiale