Microsoft : Mise à jour mensuelle d’octobre 2017

Microsoft a publié le 10 Octobre 2017 sa mise à jour mensuelle de sécurité identifiant et corrigeant diverses vulnérabilités dans plusieurs produits. Ce mois, les correctifs remédient à 63 nouvelles vulnérabilités, parmi lesquelles 28 critiques et 35 importantes.

Les produits impactés sont, entre autres:

  • Microsoft Edge
  • Internet Explorer
  • Microsoft office
  • Microsoft Sharepoint
  • Noyau Windows
  • Interface Graphique
Informations
+

Windows :

Sur Windows, deux vulnérabilités critiques d’exécution de code à distance ont été identifiées. La première sur Windows DNSAPI, avec la référence CVE-2017-11779, permet d’exécuter du code arbitraire sur le fichier DNSAPI.dll du système DNS (Domain Name System) de Windows. La deuxième concerne Windows Search, avec la référence CVE-2017-11771,  et permet de prendre le contrôle total du système affecté.

Sept vulnérabilités touchent les services Windows. Ces vulnérabilités permettraient à un attaquant d’exécuter du code, d’élever directement ses privilèges ou d’obtenir des informations susceptibles de compromettre le système affecté.

Quatre vulnérabilités ont aussi été corrigées sur le serveur Windows SMB. Principalement, les vulnérabilités permettent de procéder à un déni de service, une escalade de privilèges, une fuite d’information ainsi qu’à de l’exécution de code à distance.

Deux autres failles corrigées sont relatives à un problème de divulgation d’informations. La première vulnérabilité, la CVE-2017-11817, apparait sur le noyau Windows. La seconde, la CVE-2017-11772, concerne Windows Search.

Un contournement des fonctionnalités de sécurité a aussi été référencé. La première vulnérabilité, CVE-2017-11818, cible le stockage Microsoft Windows en cas d’échec d’une vérification du niveau d’intégrité. L’autre, CVE-2017-11823, pourrait permettre à un attaquant d’injecter du code malveillant dans une session Windows PowerShell pour contourner la stratégie d’intégrité du code Device Guard sur la machine locale.

En plus de ces correctifs pour Windows, la publication du mois d’Octobre intègre des correctifs du système de mise à jour Windows Update. Les deux vulnérabilités corrigées sont jugées comme importantes et peuvent conduire à un déni de service et une élévation de privilège. Il s'agit de la CVE-2017-11829 et CVE-2017-8703.

Microsoft Office :

Plusieurs vulnérabilités impactant la confidentialité et l’intégrité de l’information ont été identifiées sur les produits Office de Microsoft.

La première vulnérabilité porte sur la divulgation d’informations dans Microsoft Outlook, référencée CVE-2017-11776. Elle permet d’obtenir le contenu de messages électroniques d’un utilisateur lorsqu’Outlook ne parvient pas à établir une connexion sécurisée.

Deux autres vulnérabilités (CVE-2017-11826 & CVE-2017-11774) affectent les produits Office lors de leur traitement incorrect des objets en mémoire. Ces vulnérabilités permettent aux attaquants d’exécuter des commandes arbitraires. Elles ne sont exploitables que si l’attaquant réussit à convaincre sa cible d’ouvrir un fichier malveillant au travers d’Outlook ou via un lien malveillant. De la même façon, un attaquant peut exploiter la vulnérabilité référencée par le code CVE-2017-11825 pour effectuer des opérations au nom de l’utilisateur connecté avec des niveaux de privilèges similaires.

Une vulnérabilité de type injection XSS (CVE-2017-11777, CVE-2017-11820 et CVE-2017-11775) a été identifiée dans le produit SharePoint Server. En effet, le service ne réalise pas de vérification des requêtes web reçues permettant ainsi à un attaquant de lire du contenu qu’il n’est pas autorisé à lire, d’usurper l’identité de la victime et d’effectuer des opérations sur le site SharePoint en son nom, comme modifier les autorisations, supprimer du contenu, et injecter du contenu malveillant dans le navigateur de la victime.

Le CVE-2017-11786 référencie une vulnérabilité sur Skype entreprise affectant le traitement des requêtes spécifiques de connexions et permettant ainsi à un attaquant d’usurper l’identité d’un utilisateur en initiant une messagerie instantanée avec une photo de profil contenant du code malveillant.

JetDB

Deux vulnérabilités d’exécution de code arbitraire ont été identifiées dans le moteur de la base de données JET. Ces failles de dépassement de tampon sont référenciées comme CVE-2017-8717 et CVE-2017-8718. Pour que l’exploitation de la vulnérabilité aboutisse, l’utilisateur doit ouvrir ou visualiser un document Excel spécialement conçue sur une version affectée de Windows.

Navigateurs :

Dix-neuf bulletins CVE ont été réservés pour les vulnérabilités critiques identifiées dans les moteurs de scripts des deux navigateurs de Microsoft : Edge et Internet Explorer. Une personne malveillante peut exploiter ces failles pour exécuter du code arbitraire et prendre le contrôle du système affecté.

D’autres vulnérabilités du même niveau de criticité ont été identifiées dans le navigateur Internet Explorer, deux (CVE-2017-11813 et CVE-2017-11822) permettant une altération de la mémoire et deux autres (CVE-2017-8727 et CVE-2017-11819) permettant une exécution de code à distance. Ces vulnérabilités sont dues au mauvais traitement des objets en mémoires par les navigateurs.

Interface graphique de Microsoft:

L’interface graphique de Windows comporte deux vulnérabilités critiques d’exécution de code à distance (CVE-2017-11762 et CVE-2017-11763). Une personne malveillante peut, en utilisant une police spécifiquement fabriquée, installer des logiciels malveillants sur la machine victime.

En exploitant les vulnérabilités CVE-2017-8693, CVE-2017-11816 et CVE-2017-11824 relatives à une divulgation d’information, un attaquant peut impacter la confidentialité, la disponibilité et l’intégrité des informations sur la machine cible.


Recommandations
+

Nous recommandons l'application de ces correctifs de sécurité dès que possible.

Toutefois, l'application des mises à jour peut entraîner des dysfonctionnements que l’utilisateur final peut rencontrer. Microsoft a donc inclus des solutions de contournement pour les problèmes les répandus.