Mise à jour mensuelle de Microsoft

Le 14 août 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante vulnérabilités ont été corrigées, parmi lesquelles vingt sont considérées comme critiques et trente-huit comme importantes. Deux autres problèmes de sécurité d’impact modérée et faibles sont aussi corrigés dans le cadre de cette publication. Les produits suivants sont affectés :

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
  • ChakraCore
  • Adobe Flash Player
  • Le cadriciel .NET
  • Microsoft Exchange Server
  • Microsoft SQL Server
  • Visual Studio

Navigateurs

Pour le mois d’août 2018, onze vulnérabilités ont été corrigées pour le navigateur Internet Explorer.

Il s’agit pour neuf d’entre elles de failles pouvant mener à une exécution de code à distance. Six sont d’une sévérité jugée critique par Microsoft et trois autres sont considérées comme importantes. Parmi les vulnérabilités critiques, la CVE-2018-8373 impacte le moteur de script du navigateur. On notera que cette faille était connue publiquement et exploitée avant la publication des correctifs de ce mois par l’éditeur.
Deux autres correctifs sont également fournis pour des failles impactant Internet Explorer. Toutes deux sont évaluées comme importantes. Il s’agit dans le premier cas d’un risque d’élévation de privilèges et dans le second cas d’un problème de divulgation d’informations.

Seize vulnérabilités sont corrigées dans Microsoft Edge pour le mois d’août 2018.

Pour la majorité, dix d’entre elles, il s’agit de problèmes critiques permettant l’exécution de code à distance. Cinq autres vulnérabilités corrigées sont considérées comme importantes. Deux d’entre elles, identifiées en tant que CVE-2018-8351 et CVE-2018-8370, peuvent provoquer une fuite d’informations. Les trois autres failles de même criticité conduisent quant à elles à un contournement d’une politique de sécurité sur le partage de ressources d’origines croisées, à une élévation de privilèges permettant un échappement du bac à sable du navigateur et à une usurpation d’identité.
Le dernier correctif fourni pour Microsoft Edge concerne une vulnérabilité de type usurpation d’identité de faible sévérité. Identifiée comme CVE-2018-8388, cette faille pourrait être exploitée afin d’induire en erreur un utilisateur sur la légitimité du site web consulté.

Les correctifs apportés aux navigateurs Microsoft ce mois comprennent également les mises à jour de sécurité pour Adobe Flash. D’une gravité considérée critique, les cinq vulnérabilités corrigées ici pourraient conduire à une exécution de code arbitraire à distance.

Bureautique

Les différents composants de la suite Office reçoivent des correctifs pour six vulnérabilités importantes.

Pour trois d’entre elles, les CVE-2018-8379, CVE-2018-8375 et CVE-2018-8376, il s’agit d’un problème de sécurité menant à une exécution de code à distance. Les deux premières affectent le logiciel Microsoft Excel alors que la dernière impacte Microsoft PowerPoint.
Une vulnérabilité touchant Microsoft AutoUpdate pour les systèmes Mac pourrait découler sur une élévation de privilèges alors que les deux derniers correctifs apportés à la suite Office pour ce mois concernent un problème de fuite d’informations mémoire.

Windows

Pour le mois d’août 2018, vingt-sept correctifs sont apportés à Windows.

Douze de ces correctifs concernent un problème d’élévation de privilèges. Les vulnérabilités menant à ce type d’impact sont toutes considérées comme importantes et affectent différents éléments du système d’exploitation de Microsoft, tels que le noyau graphique de DirectX, Win32k ou encore Cortana. La vulnérabilité d’identifiant CVE-2018-8253 touche par exemple l’assistant vocal et pourrait notamment permettre à un attaquant de naviguer sur des sites web alors que l’ordinateur est verrouillé.

Sept autres vulnérabilités, pouvant mener à une exécution de code arbitraire à distance, sont aussi corrigées. Quatre d’entre elles sont jugées critiques par Microsoft alors que les trois dernières sont considérées d’une sévérité importante. Parmi celles-ci, la CVE-2018-8414 a été dévoilée publiquement avant la publication des correctifs de Microsoft pour le mois d’août 2018. Elle peut conduire à l’exécution de code arbitraire dans Windows Shell pour cause d’un défaut lors de la validation des chemins d’accès aux fichiers.

Enfin, huit autres vulnérabilités importantes sont également corrigées dans Windows. Il s’agit pour cinq d’entre elles de problèmes de sécurité pouvant conduire à une divulgation d’informations. Les trois derniers correctifs permettent de limiter un risque de contournement des fonctionnalités de sécurités Device Guard ou AD FS (Active Directory Federation Services).

Produits Microsoft

Le cadriciel .NET reçoit un correctif de sécurité pour adresser une vulnérabilité importante conduisant à une divulgation d’informations.

Parmi les autres produits Microsoft, treize vulnérabilités sont corrigées.
Onze concernent un risque d’exécution de code à distance et sont jugées critiques. On trouvera ici plusieurs failles impactant les moteur de script Microsoft, mais également les CVE-2018-8302 et CVE-2018-8273 impactant respectivement Microsoft Exchange et Microsoft SQL Server.
Enfin, deux correctifs de moindre criticité, le premier important et le second modéré, sont fournis pour des failles pouvant conduire à une élévation de privilèges ou à une falsification des données associées à un profil sur un serveur Microsoft Exchange.

Recommandations

Le CERT-FR recommande l’application de ces correctifs de sécurité dès que possible.

Rappel des avis émis

Dans la période du 13 au 19 août 2018, le CERT-FR a émis les publications suivantes :