Mise à jour mensuelle de Microsoft
Le 11 septembre 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Soixante-deux vulnérabilités ont été corrigées, parmi lesquelles dix-sept sont considérées comme critiques et quarante-quatre comme importantes. Un problème de sécurité d’impact modérée est aussi corrigé dans le cadre de cette publication. Les produits suivants sont affectés :
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- ChakraCore
- Adobe Flash Player
- .NET Framework
- Microsoft.Data.OData
- ASP.NET
Navigateurs
Pour le mois de septembre 2018, six vulnérabilités ont été corrigées pour le navigateur Internet Explorer.
Les vulnérabilités CVE-2018-8457, CVE-2018-8461 et CVE-2018-8447 sont de type exécution de code arbitraire à distance et sont jugées critiques. A noter que la vulnérabilité CVE-2018-8457 a été publié publiquement.
Les vulnérabilités CVE-2018-8452 et CVE-2018-8315 permettent une divulgation d’informations et sont de sévérité importante. La vulnérabilité CVE-2018-8470 débouche sur un contournement d’une fonctionnalité de sécurité. Son exploitation permet d’accéder à une session appartenant à des pages web actuellement ouvertes ou mises en cache par le navigateur.
Quinze vulnérabilités ont été corrigées pour Microsoft Edge.
Neuf sont de type exécution de code arbitraire à distance. A l’exception de la vulnérabilité CVE-2018-8354 qui est jugée de sévérité importante, toutes les autres sont considérées comme critiques. La vulnérabilité CVE-2018-8470, révélée publiquement, impacte également Edge.
Les six autres vulnérabilités impactant Edge sont jugées importantes et sont réparties comme suit : trois permettent une divulgation d’informations, deux sont de type élévation de privilèges et la dernière débouche sur une usurpation d’identité.
Les correctifs apportés aux navigateurs Microsoft ce mois comprennent également les mises à jour de sécurité pour Adobe Flash. D’une gravité considérée importante, la vulnérabilité corrigée ici pourrait conduire à une atteinte à la confidentialité des données.
Bureautique
Les différents composants de la suite Office reçoivent des correctifs pour sept vulnérabilités dont une critique.
Celle-ci, dont l’identifiant est CVE-2018-8332, permet une exécution de code à distance dans le composant Graphics Win32k. Les vulnérabilités CVE-2018-8331 et CVE-2018-8430 sont également de type exécution de code arbitraire à distance, mais sont jugées de sévérité importante. Elles impactent Microsoft Excel pour la première et l’ouverture d’un fichier PDF dans Microsoft Word pour la deuxième.
La vulnérabilité CVE-2018-8428 permet une élévation de privilège dans Microsoft SharePoint. Elle est de sévérité importante.
Trois vulnérabilités permettent une divulgation d’informations. Elles impactent Microsoft SharePoint (CVE-2018-8431 et CVE-2018-8426) et Microsoft Excel (CVE-2018-8429).
Windows
Pour le mois de septembre 2018, trente-trois correctifs sont apportés à Windows.
Huit d’entre eux corrigent des vulnérabilités de type exécution de code arbitraire à distance. Parmi celles-ci, cinq sont considérées critiques. La vulnérabilité CVE-2018-8475 peut être exploitée par un fichier image spécialement conçu. Elle a été révélée publiquement. Les vulnérabilités CVE-2018-8332, CVE-2018-0965, CVE-2018-8439 et CVE-2018-8420 impactent respectivement le composant Graphics Win32k, Windows Hyper-V et MSXML.
Six vulnérabilités permettant une élévation de privilèges sont corrigées dans Windows. Elles sont toutes jugées de sévérité importante. Parmi elles, la vulnérabilité CVE-2018-8440 a été révélée publiquement et a fait l’objet de l’alerte CERTFR-2018-ALE-009.
Pour les autres vulnérabilités corrigées sur Windows, toutes sont de sévérité importante et elles sont réparties comme suit : douze sont de type divulgation d’informations, trois d’entre elles permettent un contournement de la fonctionnalité de sécurité et quatre peuvent déboucher sur un déni de service.
Produits Microsoft
Le cadriciel .NET reçoit deux correctifs. La vulnérabilité CVE-2018-8421 permet une exécution de code arbitraire à distance et est jugée critiques. La vulnérabilité CVE-2018-8409 permet un déni de service et est considérée comme importante. A noter que cette dernière impacte ASP.NET Core et a également été révélée publiquement.
Parmi les autres produits Microsoft, treize vulnérabilités sont corrigées.
Huit d’entre elles impactent le moteur d’exécution de scripts ChakraCore et sont de type exécution de code arbitraire à distance. À l’exception de la vulnérabilité CVE-2018-8391, elles ont déjà été couvertes dans la section consacrée au navigateur Edge.
Les cinq dernières vulnérabilités permettent un contournement de la fonctionnalité de sécurité dans Lync pour Mac 2011, des divulgations d’information dans des moteurs de script de Windows, une usurpation d’identité dans Azure IoT et enfin un déni de service dans OData.
Rappel des avis émis
Dans la période du 10 au 16 septembre 2018, le CERT-FR a émis les publications suivantes :
- CERTFR-2018-AVI-427 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-428 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2018-AVI-429 : Multiples vulnérabilités dans SCADA les produits Siemens
- CERTFR-2018-AVI-430 : Multiples vulnérabilités dans Adobe Flash Player et Cold Fusion
- CERTFR-2018-AVI-431 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2018-AVI-432 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2018-AVI-433 : Multiples vulnérabilités dans Microsoft Internet Explorer
- CERTFR-2018-AVI-434 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2018-AVI-435 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2018-AVI-436 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2018-AVI-437 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2018-AVI-438 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2018-AVI-439 : Multiples vulnérabilités dans PHP
