Microsoft publie son Patch Tuesday de décembre corrigeant 34 vulnérabilités

Microsoft a publié son « Patch Tuesday » corrigeant des vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 34 nouvelles vulnérabilités dont 21 jugées critiques et 13 jugées importantes. Ces vulnérabilités affectent entre autres Microsoft Edge, SharePoint, Exchange, Internet Explorer, Microsoft Office, le moteur de script et Microsoft Windows.

Vulnérabilités critiques :

  • Moteur de script d'Internet Explorer & Microsoft Edge

Plusieurs vulnérabilités (au nombre de 19) ont été identifiées dans les moteurs de script de Microsoft Edge et Internet Explorer, pouvant potentiellement permettre à un attaquant d'exécuter du code de manière arbitraire à distance.

Ces vulnérabilités sont dues à des manipulations incorrectes des objets en mémoire par les moteurs de script dans Microsoft Edge et Internet Explorer. Par conséquent, une exploitation réussie peut provoquer une exécution de code arbitraire dans le contexte de l’utilisateur actuel. Ces vulnérabilités peuvent être exploitées également via des attaques Web où l'utilisateur accède à une page Web malveillante, mais également dans certains cas par l'ouverture d'un document Microsoft Office contenant un contrôle ActiveX incorporé.

  • Microsoft Malware Protection Engine

Deux vulnérabilités d'exécution de code arbitraire, ayant les références CVE-2017-11937 et CVE-2017-11940, ont été identifiées dans Microsoft Malware Protection Engine. Elles pourraient permettre à un attaquant d'exécuter du code dans le contexte du compte LocalSystem. Ces vulnérabilités sont dues à l'analyse incorrecte des fichiers par le moteur antivirus. L'exploitation de ces vulnérabilités est réalisable si le système analyse un fichier spécialement conçu avec une version affectée du Microsoft Malware Protection Engine.

Vulnérabilités de criticité importante :

  • Moteur de script d'Internet Explorer & Microsoft Edge

Trois vulnérabilités de criticité importantes ont été corrigées sur les moteurs de script de Microsoft Edge et Internet Explorer. Elles pourraient permettre à un attaquant, via des attaques WEB, d'obtenir des informations sensibles capables de compromettre le système cible. Ces vulnérabilités sont dues à une mauvaise gestion des objets en mémoire.

Deux vulnérabilités de corruption de mémoire permettant l’exécution de code arbitraire à distance ont également été corrigés.

  • Microsoft Windows

Une vulnérabilité permettant un contournement des fonctionnalités de sécurité de Windows a été identifiée sur Device Guard. Une exploitation réussie de cette vulnérabilité peut entraîner la validation incorrecte par Device Guard de fichiers non approuvés.

Une autre vulnérabilité permettant une divulgation d'informations a été identifiée dans le gestionnaire de protocole Windows. Elle pourrait être exploitée pour obtenir des informations sensibles, notamment les valeurs des hash NTLM associés au compte d'une victime.

  • Autres produits (Office, SharePoint, Exchange, Windows RRAS)

D'autres vulnérabilités classées comme importantes ont également été corrigées. On retrouve plusieurs failles sur Microsoft Office, notamment une vulnérabilité permettant une divulgation            d'informations et une vulnérabilité permettant une exécution de code à distance dans Excel. Du côté serveur, des correctifs sont disponibles pour un problème d'usurpation de contenu dans Microsoft Exchange Server, pour une vulnérabilité d'escalade de privilèges dans SharePoint et pour une vulnérabilité d'exécution de code à distance dans le service Windows RRAS.

Selon Microsoft, aucune des vulnérabilités corrigées ce mois-ci n'a été exploitée lors d'attaques ou divulguées publiquement avant la publication des correctifs.

Il est recommandé de mettre à jour les produits Microsoft à la dernière version disponible. Sur les bulletins de sécurité spécifiques à chaque produit, Microsoft publie des solutions de contournement éventuelles et des directives pour l’installation du correctif correspondant.