Microsoft a publié son Patch de janvier corrigeant 56 vulnérabilités

Microsoft a publié son « Patch Tuesday » corrigeant des vulnérabilités ayant été identifiées sur plusieurs de ses produits. Le patch de ce mois-ci corrige 56 nouvelles vulnérabilités dont 16 jugées critiques et 39 jugées importantes et une d'entre elles a été jugée de criticité moyenne. Ces vulnérabilités affectent entre autres Microsoft Edge, ASP.NET, Exchange, Internet Explorer, le moteur de script, Microsoft Office et Microsoft Windows.

En plus des 56 vulnérabilités adressées, Microsoft a également publié une mise à jour qui concerne Meltdown et Spectre. Des atténuations pour ces deux vulnérabilités ont été publiées pour Windows dans un avis de sécurité publié précédemment. Pourtant, en raison d'incompatibilité avec des produits antivirus, des utilisateurs et des organisations n'ont peut-être pas encore reçu cette mise à jour. Pour plus d'informations, les utilisateurs doivent se référer à l'article publié par Microsoft qui couvre ce problème.

Vulnérabilités critiques :

- Moteur de script d'Internet Explorer & Microsoft Edge :

  • Plusieurs vulnérabilités (au nombre de 15) ont été identifiées dans les moteurs de script de Microsoft Edge et Internet Explorer, pouvant potentiellement permettre à un attaquant d'exécuter du code de manière arbitraire à distance. Ces vulnérabilités sont dues à des manipulations incorrectes des objets en mémoire par les moteurs de script dans Microsoft Edge et Internet Explorer. Par conséquent, une exploitation réussie peut provoquer une exécution de code arbitraire dans le contexte de l’utilisateur actuel. Ces vulnérabilités peuvent être exploitées également via des attaques Web où l'utilisateur accède à une page Web malveillante, mais également dans certains cas par l'ouverture d'un document Microsoft Office qui utilise le moteur de rendu du navigateur.
  • Trois vulnérabilités de divulgation d'informations identifiées affectent le moteur de script de Microsoft Edge. En raison de mauvaise gestion des objets en mémoire. Ces vulnérabilités pourraient être exploitées par un attaquant afin d'obtenir des informations sensibles d'un système affecté.

- Microsoft Office :

  • Une vulnérabilité d'exécution de code à distance (CVE-2018-0797) a été découverte sur Microsoft Office qui ne gérait pas correctement les fichiers RTF. Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'exécuter du code dans le contexte de l'utilisateur actuel via des attaques Web ou par courrier électronique.

Vulnérabilités importantes :

- Microsoft Windows :

  • Trois vulnérabilités de divulgation d'informations ont été découvertes affectant le noyau Windows. Une exploitation réussie de ces vulnérabilités pourrait fournir une information d'attaquant requise pour contourner ASLR car elle permet la récupération de l'adresse mémoire des objets du noyau. L'exploitation de ces vulnérabilités nécessiterait un attaquant local authentifié pour exécuter un programme spécialement conçu.
  • Quatre autres vulnérabilités d'élévation de privilèges ont été découvertes affectant le noyau Windows. Une exploitation réussie de ces vulnérabilités nécessiterait un attaquant local authentifié pour exécuter un programme spécialement conçu et pourrait permettre à l'attaquant d'usurper l'identité des processus, d'exécuter du code avec des privilèges élevés, d'injecter des communications inter-processus ou éventuellement d’induire un déni de service.

- Autres produits (Office, Windows GDI, Windows IPSec, service .NET et .NET Core et le moteur de script) :

  • D'autres vulnérabilités classées comme importantes ont également été corrigées. On retrouve plusieurs failles sur Microsoft Office, notamment cinq vulnérabilités permettant une exécution de code à distance sur Word et une sur Excel ainsi que quatre vulnérabilités de corruption de mémoire. On identifie aussi des vulnérabilités de divulgation d’informations sur Microsoft Color Management, ATMFD.dll et Windows GDI, des vulnérabilités de déni de service sur Windows IPSec et .NET et .NET Core ainsi que des vulnérabilités d'élévation de privilèges sur ASP.NET Core et Microsoft Edge.
  • Ce patch a traité également un problème de contournement de fonctionnalité de sécurité dans Microsoft Chakra et pourrait permettre à un attaquant de contourner Control Flow Guard. 
  • Du côté serveur, un correctif est disponible pour une vulnérabilité d'élévation de privilèges dans le serveur SMB.

De plus, Microsoft a évalué une vulnérabilité de falsification de requêtes inter-sites ASP.NET Core de criticité moyenne.

Selon Microsoft, aucune des vulnérabilités corrigées ce mois-ci n'a été exploitée lors d'attaques ou divulguées publiquement avant la publication des correctifs.

Il est recommandé de mettre à jour les produits Microsoft à la dernière version disponible. Sur les bulletins de sécurité spécifiques à chaque produit, Microsoft publie des solutions de contournement éventuelles et des directives pour l’installation du correctif correspondant.