Parce qu'il y a toujours une solution...

99 vulnérabilités dont 12 critiques, patch pour une vulnérabilité 0-Day dans IE et des vulnérabilités dans Exchange et Adobe

Par Jimmy Graham in The  Laws of Vulnerabilities

Le Patch  Tuesday de ce mois traite 99 vulnérabilités dont 12 sont classées critiques. Parmi ces dernières, 7 affectent les navigateurs et les  moteurs de scripts, 2 la connexion Bureau  à distance et les 3 autres des fichiers LNK, Media Foundation et  Windows.

La vulnérabilité 0-Day dans IE divulguée en janvier est corrigée en même temps que les moteurs de scripts. Microsoft a également publié un patch  pour une exécution de code à distance  (RCE) dans Exchange.

Quant à Adobe, l'éditeur vient de publier des patches pour Experience Manager, Digital Editions, Flash Player, Acrobat/Reader et Framemaker.

Correctifs pour postes de travail

Déployer les  correctifs pour les vulnérabilités qui affectent des moteurs de script, des fichiers LNK et Media Foundation est une priorité pour les  équipements de type poste de travail,  à savoir tout système utilisé pour accéder à la messagerie ou à Internet via un navigateur. Sont également concernés les serveurs  multi-utilisateurs faisant office de postes de travail distants.

Vulnérabilité 0-Day dans IE attaquée activement

En janvier, Microsoft a diffusé un avis  de sécurité concernant une vulnérabilité 0-Day activement attaquée, ce qui impactait le moteur JavaScript spécifique à Internet Explorer. Cette  vulnérabilité  (CVE-2020-0674)  vient d'être corrigée à l'occasion de ce Patch Tuesday.

RCE « Windows »

Microsoft a également publié un correctif pour une vulnérabilité Windows (CVE-2020-0662)  pouvant entraîner l'exécution de code à distance (RCE) si un attaquant  dispose de certificats d'utilisateur du domaine. Même si cette vulnérabilité est considérée comme « moins sujette à exploitation »,  elle peut être attaquée via le réseau sans aucune interaction  utilisateur selon les chaines du vecteur CVSS définies par Microsoft.  Le service impacté n'est pas spécifié dans le bulletin. D'après les  informations disponibles, il s'agit d'une priorité pour tous les serveurs et postes de travail Windows.


RCE dans Exchange

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-0688)  dans Exchange. Cette vulnérabilité peut permettre à un attaquant  d'exécuter du code arbitraire en tant que Système en envoyant un email malveillant au serveur Exchange. Même si cette vulnérabilité n'est  indiquée que comme « Importante », le patch associé doit  être déployé en priorité sur tous les serveurs Exchange.

Exécution de code RCE sur le client Bureau à distance

Deux vulnérabilités par exécution de code à distance (CVE-2020-0681 & CVE-2020-0734)  ont été corrigées dans le client Bureau à distance. Pour qu'elles puissent être exploitées, l'utilisateur ciblé doit se connecter à un  serveur Bureau à distance malveillant.

Edge sous Chromium

Microsoft a également publié le 17 janvier des patches (ADV200002) pour Edge sous Chromium qui traitent 4 vulnérabilités et 37 autres correctifs le 07 février.

Adobe

Adobe vient de publier des correctifs qui traitent de nombreuses vulnérabilités dans Experience  Manager, Digital  Editions, Flash  Player, Acrobat/Reader,  et Framemaker. Les patches pour Flash, Acrobat/Reader et Experience Manager sont de Priorité  2 tandis que les autres ont une Priorité  de niveau 3. Le 28 janvier, Adobe a publié un patch en urgence pour Magento avec une Priorité  de niveau 2.

Même  si aucune des vulnérabilités rapportées par Adobe n'est a priori  attaquée activement aujourd'hui, tous les correctifs doivent être  déployés en priorité sur les systèmes où ces produits  sont installés.