Mise à jour mensuelle de Microsoft
Le 9 octobre 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante vulnérabilités ont été corrigées, parmi lesquelles douze sont considérées comme critiques et trente-six comme importantes. Un problème de sécurité d’impact modérée et faible sont aussi corrigés dans le cadre de cette publication. Les produits suivants sont affectés :
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- ChakraCore
- SQL Server Management Studio
- Microsoft Exchange Server
Navigateurs
Pour le mois d’octobre 2018, deux vulnérabilités ont été corrigées pour le navigateur Internet Explorer.
Les vulnérabilités CVE-2018-8460 et CVE-2018-8491 sont de type exécution de code arbitraire à distance et sont jugées critiques. Aucune de ces vulnérabilités n’a été révélée publiquement.
Dix vulnérabilités ont été corrigées pour Microsoft Edge.
Huit sont de type exécution de code arbitraire à distance. A l’exception de la vulnérabilité CVE-2018-8503 qui est jugée de sévérité faible et de la vulnérabilité CVE-2018-8531 qui est de sévérité importante, toutes les autres sont considérées comme critiques. La vulnérabilité CVE-2018-8531 a été révélée publiquement et concerne le SDK d’Azure IoT Device Client.
Deux autres vulnérabilités impactent Edge. Elles sont jugées respectivement comme ayant une sévérité faible et importante. Ces deux vulnérabilités permettent un contournement de la fonctionnalité de sécurité du navigateur.
Bureautique
Les différents composants de la suite Office reçoivent des correctifs pour neuf vulnérabilités jugées importantes dont huit permettent une élévation de privilège ou une exécution de code à distance. Aucune de ces vulnérabilités n’a été révélée publiquement.
Les vulnérabilités CVE-2018-8480, CVE-2018-8488, CVE-2018-8498 et CVE-2018-8518 concerne Microsoft SharePoint. Ces vulnérabilités sont toutes jugées importantes et concernent une élévation de privilège.
Les trois vulnérabilités suivantes : CVE-2018-8501, CVE-2018-8502 et CVE-208-8504 concernent respectivement les produits Microsoft PowerPoint, Microsoft Excel et Microsoft Word. De sévérité importante, elles concernent une exécution de code à distance.
Les deux dernières vulnérabilités CVE-2018-8432 et CVE-2018-8427 impactent les composants Microsoft Graphics. Elles permettent, respectivement, une exécution de code à distance et une divulgation d’informations.
Windows
Pour le mois d’octobre 2018, vingt-trois correctifs sont apportés à Windows.
Sept d’entre eux corrigent des vulnérabilités de type exécution de code arbitraire à distance. Parmi celles-ci, trois sont considérées critiques. Elles concernent Microsoft Hyper-V (CVE-2018-8489 et CVE-2018-8490) et MSXML (CVE-2018-8494). Ces produits sont vulnérables à une exécution de code à distance.
La vulnérabilité CVE-2018-8453 de sévérité importante, concerne le composant Win32k et est réputée comme activement exploitée. Elle permet une élévation de privilège rendant possible une exécution de code arbitraire en mode noyau.
Le moteur de base de données Microsoft Jet est impacté par la vulnérabilité CVE-2018-8423, révélée publiquement. Cette vulnérabilité est de type exécution de code à distance et de sévérité importante. Elle permettrait, entre autre, à un attaquant d’afficher, modifier, supprimer des données et de créer des comptes ayant un haut niveau de privilège.
La vulnérabilité CVE-2018-8497 concerne le noyau Windows et est révélée publiquement. Cette vulnérabilité, de sévérité importante, permet une élévation de privilèges. Elle rend possible l’exécution de code avec des autorisations élevées. Le noyau Windows est également impacté par le vulnérabilité CVE-2018-8330 de type divulgation d’informations et de sévérité importante.
Les autres correctifs pour Windows concernent des vulnérabilités de sévérité importantes. Elles sont réparties comme suit : sept de type divulgation d’informations, quatre de type élévation de privilèges, trois de type exécution de code à distance et deux permettent de contourner une fonctionnalité de sécurité.
Produits Microsoft
Le cadriciel .NET reçoit un correctif. La vulnérabilité CVE-2018-8292 permet une divulgation d’information et est jugée importante. Elle n’a pas été révélée publiquement.
Parmi les autres produits Microsoft, douze vulnérabilités sont corrigées.
Six d’entre elles impactent le moteur d’exécution de script ChakraCore et sont de type exécution de code arbitraire à distance. A l’exception de la vulnérabilité CVE-2018-8500, elles ont déjà été couvertes dans la section consacrée au navigateur Edge.
Les six dernières vulnérabilités restantes permettent : une exécution de code à distance dans MFC et le client Exchange, une élévation de privilège dans Exchange Server et trois divulgations d’informations dans SQL Server Management Studio.
Rappel des avis émis
Dans la période du 01 au 07 octobre 2018, le CERT-FR a émis les publications suivantes :
- CERTFR-2018-AVI-461 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-462 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2018-AVI-463 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-464 : Multiples vulnérabilités dans Adobe Acrobat et Reader
- CERTFR-2018-AVI-465 : Multiples vulnérabilités dans Google Android
- CERTFR-2018-AVI-466 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-467 : Multiples vulnérabilités dans Mozilla Firefox
- CERTFR-2018-AVI-468 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2018-AVI-469 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2018-AVI-470 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2018-AVI-471 : Vulnérabilité dans VMware Workspace ONE Unified Endpoint Management Console (AirWatch Console)
