Microsoft publie son patch Tuesday de novembre corrigeant 74 vulnérabilités

Microsoft a publié son « Patch Tuesday » de novembre 2019 corrigeant 74 vulnérabilités. Parmi ces vulnérabilités, 13 sont classées comme critiques. Ce Patch Tuesday 2019 corrige notamment une vulnérabilité critique d'exécution de code à distance dans Internet Explorer qui était activement exploitée.

CVE-2019-1429[Score CVSSv3 : 7.5] Il s’agit d’une vulnérabilité d’exécution de code à distance, elle est due à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. L'exploitation de cette vulnérabilité pourrait altérer la mémoire et permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur connecté. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l’utilisateur connecté. Si l’utilisateur a ouvert une session avec des privilèges d’administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d’un système affecté. L’attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Dans le cas d’une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site web. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité.

CVE-2019-1457[Score CVSSv3 7.8] Une vulnérabilité de contournement des fonctions de sécurité existe dans le logiciel Microsoft Office. Il permet de contourner les restrictions de macro dans un document Excel. Le contournement de la fonction de sécurité ne permet pas à lui seul l'exécution de code arbitraire. Pour exploiter avec succès la vulnérabilité, un attaquant devrait intégrer un contrôle dans une feuille de calcul Excel qui spécifie qu'une macro doit être exécutée. Pour exploiter la vulnérabilité, un attaquant devrait convaincre un utilisateur d'ouvrir un fichier spécialement conçu avec une version affectée du logiciel Microsoft Office.

CVE-2019-1419[Score CVSSv3 : 7.8] Une vulnérabilité d'exécution de code à distance existe dans Microsoft Windows. Elle est due à une mauvaise gestion des polices OpenType spéciales par la bibliothèque Windows Adobe Type Manager Library. Pour tous les systèmes sauf Windows 10, un attaquant pourrait exploiter cette vulnérabilité afin d’exécuter du code à distance. Pour les systèmes fonctionnant sous Windows 10, un attaquant pourrait exploiter cette vulnérabilité afin d’exécuter du code dans un contexte sandbox d'AppContainer avec des privilèges et des capacités limités. Un attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec tous les droits d'utilisateur.

Un attaquant pourrait exploiter la vulnérabilité de plusieurs façons, par exemple en convainquant un utilisateur d'ouvrir un document spécialement conçu, ou en le convainquant de visiter une page Web qui contient des polices OpenType intégrées spécialement conçues.