Accueil Cybersécurité Patch Tuesday de juillet : Todd Schell, Senior Product Manager Security chez Ivanti,...

Patch Tuesday de juillet : Todd Schell, Senior Product Manager Security chez Ivanti, revient sur la vulnérabilité dans Windows DNS Server

Au total, Microsoft résout 123 vulnérabilités uniques, dont 18 sont classées Critique. L’une de ces vulnérabilités a été exploitée publiquement (CVE-2020-1463) et il existe une vulnérabilité critique particulièrement dangereuse dans Windows DNS Server (CVE-2020-1350), qui exige votre attention immédiate. L’analyse de Tood Schell.

 

Vous trouverez ce mois-ci la série habituelle de mises à jour Microsoft, notamment pour l’OS, le navigateur et la suite Office. Des composants de développement supplémentaires, comme ChakraCore, Visual Studio, Open Source Software, Azure DevOps et .Net Framework sont également concernés.

Une vulnérabilité affecte tous les OS Windows

Microsoft inclut aussi ce mois-ci des mises à jour de pile de maintenance (SSU) pour toutes les versions de Windows, afin de résoudre une vulnérabilité critique. C’est une première. CVE-2020-1346 est une vulnérabilité d’élévation de privilèges du programme d’installation des modules Windows, qui peut permettre à un pirate d’obtenir des privilèges élevés sur le système concerné. Dans ce cas précis, le pirate doit exécuter du code sur le système cible. Cette vulnérabilité affecte tous les OS Windows, y compris Windows 7, et Server 2008 et 2008 R2.

Vulnérabilité critique dans Windows DNS Server

Windows DNS Server comporte une vulnérabilité de type Critique (CVE-2020-1350) pouvant faire l’objet d’un ver. Cela signifie qu’un pirate peut exploiter cette vulnérabilité à distance sans authentification, et que l’infection peut se propager très rapidement à tous les serveurs DNS de votre environnement. Cette CVE porte le score CVSS de base 10,0 et Microsoft fournit des consignes assez strictes pour y réagir.
Dans le blog du MSRC (le Centre de réponse aux problèmes de sécurité Microsoft), les rédacteurs conseillent à tous ceux qui ne peuvent pas déployer rapidement la mise à jour d’utiliser une solution de contournement basé sur le registre pour éviter le problème jusqu’à ce qu’il soit possible de déployer la mise à jour. Cette solution de contournement ne nécessite pas de redémarrage du système.

Vulnérabilité de la bibliothèque Windows SharedStream

La vulnérabilité à divulgation publique du mois (CVE-2020-1463) est également de type Élévation des privilèges. Dans ce cas, il s’agit d’une vulnérabilité de la bibliothèque Windows SharedStream, qui affecte Windows 10 et Server 2016, et versions supérieures. Cette vulnérabilité peut permettre à un pirate d’exécuter du code avec des permissions élevées. Le pirate a besoin de s’authentifier en local pour exploiter cette vulnérabilité.

Les 18 CVE critiques affectent l’OS Windows, IE, Office, SharePoint, .Net Framework et Visual Studio. L’OS, le navigateur et l’Office doivent être votre priorité, mais il ne faut pas négliger SharePoint, .Net et Visual Studio.

La mise à jour Oracle Java SE résout 11 vulnérabilités

Oracle a également annoncé que sa mise à jour CPU du trimestre sortirait aujourd’hui. Elle est généralement publiée plus tard dans la soirée, mais en voici les points forts. La mise à jour Oracle Java SE va résoudre 11 vulnérabilités, toutes exploitables à distance sans authentification. Le score CVSS v3.1 de base le plus élevé est de 8,3. La mise à jour du middleware Fusion résout 53 CVE, dont 49 peuvent être exploitées à distance sans authentification. Le score CVSS v3.1 de base le plus élevé est de 9,8. La mise à jour MySQL résout 40 vulnérabilités, dont 6 peuvent être exploitées à distance sans authentification. Le score CVSS v3.1 de base le plus élevé est de 9,8.
Pour en savoir plus sur la mise à jour Oracle d’aujourd’hui, consultez ici leur annonce avant publication.

Les applications tierces

Adobe publie aujourd’hui cinq bulletins, mais un seul inclut une vulnérabilité critique. La mise à jour de l’application de bureau Adobe Creative Cloud résout quatre CVE, y compris CVE-2020-9682, qui est classée Critique. Aucune mise à jour Flash Player n’est publiée aujourd’hui, mais aucune CVE n’a été signalée dans cette version.

Google a également décidé de se joindre à la fête, avec une mise à jour Google Chrome résolvant 38 vulnérabilités, dont au moins une de type Critique et de nombreuses CVE au score élevé. Chrome 84.0.4147.89

Concernant les applications tierces, les mises à jour Chrome et Java doivent faire partie de vos principales priorités du mois.