Microsoft publie son patch Tuesday de mars

Microsoft a publié son Patch Tuesday du mois de mars. Celui-ci traite 64 nouvelles vulnérabilités sur un grand nombre de produits. L’éditeur a jugé 17 vulnérabilités critiques, 45 comme importantes, 1 comme modérée et 1 comme faible.

Il est à souligner que quatre correctifs avaient déjà été publiés en dehors de ce bulletin. Deux de ces vulnérabilités sont qualifiées de « jour-zéro », et font déjà l’objet d’une exploitation effective. Sur l’ensemble des vulnérabilités, 29 permettent l’exécution de code arbitraire à distance.

Les 17 vulnérabilités critiques corrigées dans ce correctif permettent toutes de réaliser de l’exécution de code arbitraire à distance. 

Vulnérabilités critiques :

• CVE-2019-0808 [CVSS v3 7.8] : C’est la première des vulnérabilités « jour zéro ». Elle a été rendue publique une semaine auparavant par Google et affecte les utilisateurs de Windows 7 32 bits et Windows Server 2008. Les attaquants avaient combiné une vulnérabilité présente sur Windows et Google Chrome afin de passer au travers du « bac à sable » de Google Chrome (sandbox) afin d'y exécuter du code arbitraire. De façon générale, cette vulnérabilité permet une élévation de privilège sur les systèmes Windows qui ne gère pas correctement les objets en mémoire.   
• CVE-2019-0797 [CVSS v3 7.8] : La deuxième vulnérabilité qualifiée de « jour zéro », elle permet comme la première une élévation de privilège dans les systèmes Win32. Découverte par Kaspersky, cette vulnérabilité permettrait à un attaquant ayant accès au système d’installer des programmes pour prendre le contrôle de la machine. 
• CVE-2019-0592, CVE-2019-0769, CVE-2019-0770, CVE-2019-0771, et CVE-2019-0773 [CVSS v3 7.5] : Un attaquant peut exploiter différents moteurs de script comme Chakra Scripting, un moteur JavaScript développé par Microsoft pour effectuer une exécution de code arbitraire dans le contexte de l’utilisateur courant.
• CVE-2019-0680 CVE-2019-0763 [CVSS v3 7.5] : Deux vulnérabilités dans Internet Explorer permettraient à un attaquant d’exécuter du code arbitraire pour obtenir les mêmes droits que ceux de l’utilisateur au travers duquel s’exécute le code malveillant. La vulnérabilité affecte le gestionnaire d’objet en mémoire du navigateur. L’attaque peut se faire en local, mais également par Internet en incitant l’utilisateur à visiter un site malveillant qui exécuterait le code.
• CVE-2019-0697 [CVSS v3 9.8] ; CVE-2019-0698 [CVSS v3 9.8] et CVE-2019-0726 [CVSS v3 9.8] : Trois vulnérabilités critiques dans Windows DHCP Client permettraient l’exécution de code en envoyant des paquets spécialement conçus. C’est le troisième mois consécutif que Microsoft tente de corriger ces failles critiques.

Vulnérabilité modérée :

• CVE-2019-0778 [CVSS v3 5.4] : Microsoft Office SharePoint est victime d’une vulnérabilité de type Cross-Site Scripting (XSS).  Un attaquant authentifié pourrait exploiter la vulnérabilité en envoyant une requête spécialement conçue à un serveur SharePoint affecté. Il pourrait alors lire un contenu qu’il n’est pas autorisé à lire, usurper l’identité de la victime pour effectuer des opérations comme des suppressions, des modifications d’autorisations ou encore injecter du contenu malveillant sur le site SharePoint.
• Windows Kernel est affecté par 6 vulnérabilités importantes permettant la divulgation d’information. Rappelons que le noyau d’un système d’exploitation est le garant de la sécurité de celui-ci.

Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible.