Microsoft nous octroie ce mois-ci des vacances, avec une série très limitée de mises à jour. Elle inclut une vulnérabilité Zero-Day et une vulnérabilité à divulgation publique. Comme chaque mois, Ivanti livre son analyse aux lecteurs de Solutions Numériques.
Zero-Day
La vulnérabilité Zero-Day est la CVE-2018-8453. Il s’agit d’une vulnérabilité du composant Win32 du système d’exploitation, qui ne gère pas correctement les objets en mémoire. Le pirate doit d’abord se connecter au système d’exploitation, mais il peut ensuite exploiter cette vulnérabilité pour exécuter du code dans le noyau (kernel) et obtenir des privilèges Administrateur. Cette vulnérabilité possède un score CVSS de base de 7 et est présente dans tous les systèmes d’exploitation avec des mises à jour ce mois-ci, de Server 2008 à Windows 10.
Divulgation publique
La vulnérabilité à divulgation publique est la CVE-2018-8423, vulnérabilité d’exécution de code à distance dans le moteur de base de données Microsoft JET. Un pirate qui réussirait à exploiter cette vulnérabilité pourrait prendre le contrôle du système infecté. Cependant, cette vulnérabilité ne permet pas d’augmenter directement les privilèges. Si cette vulnérabilité est exploitée par un utilisateur local, il aura des droits limités, par rapport à un administrateur. Cette vulnérabilité nécessite un fichier spécialement conçu pour tirer avantage du moteur de base de données JET. La mise à jour la corrige également dans tous les systèmes d’exploitation. Le score CVSS de base de cette vulnérabilité est 7,8.
49 CVE
Pour l’ensemble du portefeuille, 49 CVE ont été traitées. Comme prévu, la majorité des vulnérabilités (33) ont été corrigées dans Windows 10, Edge et les versions Server associées. Notez également qu’une mise à jour pour Server 2019 a été mise à la disposition du grand public. Microsoft a continué sur sa lancée du mois dernier, en publiant à la fois une mise à jour mensuelle et une mise à jour Sécurité uniquement pour Server 2008. Avant cela, il n’y avait qu’une mise à jour de sécurité. Des mises à jour ont également été publiées pour toutes les versions prises en charge d’Exchange Server et de Sharepoint Server ce mois-ci.
Office
Office a reçu des mises à jour pour Excel, Outlook, Powerpoint et Word ainsi que, bien entendu, pour le lot Suite Office. Office pour Mac version 16.17 (inclus dans le Patch Tuesday du mois dernier), ainsi que toutes les futures versions ultérieures sont désormais officiellement nommés « Office 2019 ». « Office 2016 » va continuer à recevoir des mises à jour « si nécessaire » jusqu’à octobre 2020. Et, heureusement, il existe désormais une page de notes de publication distinctes pour ce produit. Office 2016 continuera à prendre en charge macOS en remontant jusqu’à la version Yosemite (10.10), tandis qu’Office 2019 exige Sierra (10.12) ou supérieure. Office 365 fonctionne parfaitement avec les correctifs Office 2016 ou Office 2019, bien qu’Office 365 fasse techniquement partie désormais de la famille Office 2019.
Adobe, Apple et Oracle
Dans mon introduction, je vous disais que Microsoft n’avait pas publié de mise à jour Flash, mais Adobe a publié une mise à jour non liée à la sécurité sous le numéro APSB18-35. Apple a publié une mise à jour de sécurité pour iCloud pour Windows 7.7, qui résout 19 vulnérabilités, alors ne la manquez surtout pas si vous utilisez des produits Apple.
Enfin, n’oubliez pas qu’Oracle publie sa mise à jour CPU (Critical Patch Update) le 16 octobre. Alors, en plus des mises à jour de leurs applications, vous pouvez obtenir les tout derniers correctifs Java.
Profitez bien de ces vacances d’automne !
