Microsoft publie son patch Tuesday du mois de juin

Microsoft a publié son Patch Tuesday du mois de juin. Celui-ci traite 88 nouvelles vulnérabilités sur les produits suivants : Microsoft Windows, Internet Explorer, Edge, Office, Office Services and Web Apps, ChakraCore, Skype for Business, Microsoft Lync, Exchange Server, Azure, and SQL Server. Parmi ces vulnérabilités, 21 sont considérées comme critiques par l'éditeur, 66 comme importantes et 1 comme modérée.

Microsoft indique qu'aucune des vulnérabilités n'a été exploitée et que le Patch Tuesday de juin, inclut des correctifs pour 4 des 5  vulnérabilités "jour-zéro" publiées par l'expert en sécurité nommé SandboxEscaper (voir notre bulletin ici). Pour rappel, ces vulnérabilités sont identifiées comme suit : 

  • BearLPE : CVE-2019-1069
    • Vulnérabilité dans le planificateur de tâches de Windows
  • SandboxEscape : CVE-2019-1053
    • Contournement du bac à sable Internet Explorer 11
  • InstallerBypass : CVE-2019-0973
    • Vulnérabilité dans le dossier Windows Installer

Les 21 vulnérabilités critiques corrigées permettent de réaliser de l’exécution de code arbitraire à distance, de l'élévation de privilèges ou de la corruption de mémoire système. L'évaluation de la criticité renseignée par Microsoft reste subjective et devra être réévaluée au cas par cas.

Détails techniques

Certaines vulnérabilités considérées comme critiques par Microsoft sont référencées comme suit : 

  • CVE-2019-0988 [CVSS V3 :7.7], CVE-2019-0989 [CVSS V3 :7.7], CVE-2019-0991 [CVSS V3 :7.7], CVE-2019-0992 [CVSS V3 :7.7], CVE-2019-0993 [CVSS V3 :7.7], CVE-2019-1002 [CVSS V3 :7.7], CVE-2019-1003 [CVSS V3 :7.7] et CVE-2019-1024 [CVSS V3 :7.7] : sont toutes des vulnérabilités de corruption de mémoire dans le moteur de script de Chakra. Un attaquant pourrait exploiter une de ces vulnérabilités en incitant un utilisateur à visiter un site Web malveillant via le navigateur Microsoft Edge. En cas de succès, l'attaquant pourrait alors corrompre la mémoire du système et prendre le contrôle du système affecté.
  • CVE-2019-0620 [CVSS V3 :8.8] est une vulnérabilité d'exécution de code arbitraire à distance qui existe lorsque Hyper-V ne parvient pas à valider correctement l'entrée sur un serveur hôte d'un utilisateur authentifié utilisant un système d'exploitation invité. Un attaquant pourrait exploiter cette vulnérabilité en exécutant une application malveillante.
  • CVE-2019-0888 [CVSS V3 :8.8] est une vulnérabilité d'exécution de code à distance qui existe dans la façon dont ActiveX Data Objects gère les objets en mémoire. Un attaquant pourrait exploiter cette vulnérabilité en incitant l'utilisateur à visiter un site Web malveillant. En cas de succès, l'attaquant pourrait alors exécuter du code arbitraire dans l'environnement de travail de l'utilisateur.

Du fait de leur criticité, les utilisateurs sont invités à appliquer ces mises à jour le plus rapidement possible. Elles sont disponibles dans le catalogue en ligne de mise à jour de Microsoft, ou directement depuis les systèmes d'exploitation.

Informations
+

Risques

  • Elévation de privilèges ;
  • Exécution de code arbitraire ;
  • Modification des paramètres.

Criticité

  • Score CVSS : 8.80 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Excepté les 5 vulnérabilités "jour-zéro" publiées par l'expert en sécurité nommé SandboxEscaper, aucun code d'exploitation n'a été diffusé.

Composants & versions vulnérables

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Office, Office Services and Web Apps
  • ChakraCore
  • Skype for Business
  • Microsoft Lync
  • Microsoft Exchange Server
  • Microsoft Azure & SQL Server

CVE

  • CVE-2019-1002
  • CVE-2019-1003
  • CVE-2019-1004
  • CVE-2019-1051
  • CVE-2019-1052
  • CVE-2019-1055
  • CVE-2019-1038
  • CVE-2019-0620
  • CVE-2019-0709
  • CVE-2019-0722
  • CVE-2019-0888
  • CVE-2019-0985
  • CVE-2019-0988
  • CVE-2019-0989
  • CVE-2019-0990
  • CVE-2019-0991
  • CVE-2019-0992
  • CVE-2019-0993

Recommandations
+

Mise en place de correctif de sécurité

  • Les correctifs sont disponibles dans le catalogue en ligne de mise à jour de Microsoft, ou directement depuis les systèmes d'exploitation.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.