Bulletin d’actualité CERTFR-2018-ACT-012

Mise à jour mensuelle de Microsoft

Le 10 juillet 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante-trois vulnérabilités ont été corrigées, parmi lesquelles dix-sept d’entre elles sont considérées comme critiques. Trente-quatre sont jugées comme importantes. Une est notée comme modérée et la dernière est estimée d’impact faible. Les produits suivants sont affectés :

Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
ChakraCore
Adobe Flash Player
Le cadriciel .NET
ASP.NET
Bibliothèque de chiffrement JavaScript Microsoft Research
Skype Entreprise et Microsoft Lync
Visual Studio
Logiciel Affichage sans fil Microsoft V2
PowerShell Editor Services
Extension PowerShell pour Visual Studio Code
Personnalisations web pour Active Directory Federation Services

Navigateurs

Pour le mois de juillet 2018, six vulnérabilités ont été corrigées pour le navigateur Internet Explorer.

Cinq sont des vulnérabilités d’exécution de code arbitraire à distance, dont quatre sont critiques et une modérée.

La vulnérabilité CVE-2018-0949 permet le contournement d’une fonctionnalité de sécurité.

Microsoft corrige dix-neuf vulnérabilités pour Edge lors sa mise à jour mensuelle de juillet.

Treize d’entre elles permettent une exécution de code arbitraire à distance. Parmi celles-ci, onze sont jugées comme critiques et deux comme importantes.

Quatre vulnérabilités sont de type divulgation d’informations. La vulnérabilité CVE-2018-8324 est considérée comme critique. Les trois autres sont notées importantes. La vulnérabilité CVE-2018-8276 permet un contournement de la protection du flux de contrôle (Control Flow Guard, CFG) dans le moteur de script Chakra. L’impact de cette vulnérabilité est jugé important. Un attaquant peut exploiter la vulnérabilité CVE-2018-8278 afin d’usurper l’identité d’un site légitime. Cette vulnérabilité est considérée comme importante et a été révélée publiquement préalablement au mardi 10 juillet 2018.

Un correctif pour Adobe Flash Player est également intégré par Microsoft à sa mise à jour mensuelle. Ce dernier adresse une vulnérabilité critique d’exécution de code ainsi qu’une vulnérabilité important d’atteinte à la confidentialité des données qui pourraient être exploitée au travers des navigateurs Internet Explorer et Edge.

Bureautique

Six vulnérabilités sont corrigées dans les différents composants de la suite Office.

Trois des vulnérabilités sont de type exécution de code arbitraire à distance et sont considérées comme importantes. Les vulnérabilités CVE-2018-8312, CVE-2018-8281 et CVE-2018-8300 impactent respectivement Access, Office et SharePoint.

Deux vulnérabilités d’élévation de privilèges de sévérité importante sont également corrigées dans SharePoint (CVE-2018-8299 et CVE-2018-8323).

La vulnérabilité CVE-2018-8310 permet d’incorporer des polices TrueType non approuvées dans le corps d’un e-mail. Seule, cette vulnérabilité est notée comme faible, mais elle peut toutefois être couplée à d’autres vulnérabilités pour augmenter la probabilité de compromission par un attaquant.

Windows

Dix correctifs sont fournis pour les différents composants de Windows.

Quatre vulnérabilités concernent des élévations de privilèges et sont considérées comme importantes. Deux d’entre elles, les vulnérabilités CVE-2018-8313 et CVE-2018-8314 ont été révélées publiquement.

La vulnérabilité CVE-2018-8307 permet de contourner le blocage de contenu dans Wordpad. La vulnérabilité CVE-2018-8222 permet à un attaquant d’injecter du code malveillant dans une session Windows PowerShell en contournant une fonctionnalité de sécurité dans Device Guard. Ces deux vulnérabilités sont jugées comme importantes.

La vulnérabilité CVE-2018-8305 est corrigée dans le client Windows Mail. De sévérité importante, cette vulnérabilité permet de récupérer des informations potentiellement sensibles propres à un poste utilisateur.

Enfin, trois vulnérabilités importantes impactant un serveur FTP de Windows, Windows DNSAPI ainsi que Windows permettent un déni de service.

Produits Microsoft

Cinq vulnérabilités jugées importantes pour le cadriciel .NET sont corrigées. Deux sont de type exécution de code arbitraire à distance (CVE-2018-8260 et CVE-2018-8284), deux sont de type contournement de la politique de sécurité (CVE-2018-8171 et CVE-2018-8356), et la dernière permet une élévation de privilèges (CVE-2018-8202).

La vulnérabilité CVE-2018-8327 impacte PowerShell Editor Services de manière critique et permet une exécution de code arbitraire à distance.

Une dizaine de vulnérabilités critiques sont corrigées pour ChakraCore. Elles permettent d’exécuter du code arbitraire à distance et six d’entre elles ont été évoquées dans la section concernant Edge. La vulnérabilité CVE-2018-8287 impacte aussi le moteur de script et sa sévérité est estimée importante.

La vulnérabilité CVE-2018-8306 permet d’injecter des commandes dans une carte Microsoft Wireless Display Adapter. Elle est jugée importante. Les vulnérabilités CVE-2018-8172 et CVE-2018-8311, corrigées respectivement dans Visual Studio et Skype Entreprise et Lync, sont également notées importantes et permettent aussi une exécution de code à distance.

La vulnérabilité CVE-2018-8319 permet d’imiter une signature cryptographique sans en connaître la clé privée à cause d’une erreur dans les calculs arithmétiques implémentés dans la bibliothèque de chiffrement JavaScript MSR.

Finalement, sont également corrigées une vulnérabilité de contournement de la fonctionnalité de sécurité dans Skype Entreprise et Lync, une vulnérabilité d’usurpation d’identité dans Active Directory Federation Services et une vulnérabilité d’altération dans la manière dont Microsoft Macro Assembler valide du code.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Rappel des avis émis

Dans la période du 09 au 15 juillet 2018, le CERT-FR a émis les publications suivantes :

CERTFR-2018-AVI-328 : Vulnérabilité dans Juniper Junos OS CLI
CERTFR-2018-AVI-329 : Multiples vulnérabilités dans les produits Apple
CERTFR-2018-AVI-330 : Multiples vulnérabilités dans le noyau Linux de Red Hat
CERTFR-2018-AVI-331 : Multiples vulnérabilités dans Adobe Acrobat et Reader
CERTFR-2018-AVI-332 : Multiples vulnérabilités dans Adobe Flash Player
CERTFR-2018-AVI-333 : Multiples vulnérabilités dans Microsoft IE
CERTFR-2018-AVI-334 : Multiples vulnérabilités dans Microsoft Edge
CERTFR-2018-AVI-335 : Multiples vulnérabilités dans Microsoft Office
CERTFR-2018-AVI-336 : Multiples vulnérabilités dans Microsoft Windows
CERTFR-2018-AVI-337 : Multiples vulnérabilités dans Microsoft .Net
CERTFR-2018-AVI-338 : Multiples vulnérabilités dans les produits Microsoft
CERTFR-2018-AVI-339 : Multiples vulnérabilités dans les produits Juniper
CERTFR-2018-AVI-340 : Multiples vulnérabilités dans SCADA Siemens
CERTFR-2018-AVI-341 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2018-AVI-342 : Vulnérabilité dans le noyau Linux de SUSE

Référence	CERTFR-2018-ACT-012
Titre	Bulletin d’actualité CERTFR-2018-ACT-012
Date de la première version	16 juillet 2018
Date de la dernière version	16 juillet 2018
Source(s)	https://portal.msrc.microsoft.com/fr-fr/security-guidance https://portal.msrc.microsoft.com/fr-fr/security-guidance/releasenotedetail/1c26eff2-573f-e811-a96f-000d3a33c573
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2018-ACT-012

Gestion du document