Patch Tuesday – Janvier 2018

Meltdown/Spectre, 16 patches Microsoft critiques et 1 patch Adobe

Publié par Jimmy Graham dans The Laws of Vulnerabilities

Suite à la divulgation de Meltdown et de Spectre, Microsoft a publié plusieurs correctifs, classés comme « Importants ». Même s’il n’existe aucune attaque active contre ces deux vulnérabilités, une attention toute particulière doit être apportée aux patches pour les navigateurs en raison de risques d’attaque via JavaScript.

À noter aussi que des correctifs pour les systèmes d’exploitation et le BIOS destinés à atténuer les effets des vulnérabilités Meltdown et Spectre peuvent entraîner des problèmes de performance. Il est donc recommandé de tester tous les correctifs avant de les déployer. Par ailleurs, certaines de ces mises à jour sont incompatibles avec certains logiciels antivirus tiers et peuvent nécessiter un changement d’antivirus pour les postes de travail et serveurs. Microsoft a publié de la documentation d’assistance pour les systèmes clients et serveurs Windows. Windows Server exige de modifier le registre pour déployer les protections ajoutées par les correctifs.

Microsoft a également interrompu le déploiement de patches pour certains systèmes AMD, suite à des problèmes avec certains systèmes après installation.

Au delà de ces deux failles hautement critiques, Microsoft a publié des correctifs pour résoudre 59 vulnérabilités. Parmi ces dernières, 16 sont classées comme « critiques » tandis que 20 peuvent déclencher une exécution de code à distance.

La publication de ce mois contient des patches à la fois pour Microsoft Word et Outlook, qui doivent être déployés en priorité sur les systèmes bureautiques. La plupart des patches publiés sont destinés aux navigateurs et concernent le moteur de script. Ces patches doivent être déployés en premier lieu sur les systèmes qui se connectent à Internet via un navigateur.

Classement des correctifs par priorité :

  • CVE-2017-5753 – Contournement des mécanismes d’authentification (Bounds check bypass) – Spectre
  • CVE-2017-5715 – Technique d’« injection de cible de branche » (Branch target injection) – Spectre
  • CVE-2017-5754 – Technique de « chargement de cache de données frauduleuses » (Rogue data cache load) – Meltdown
  • CVE-2018-0793 – Outlook
  • CVE-2018-0794 – Word
  • Nombreux bulletins CVE – Patches pour navigateurs (moteur de script)

Enfin, Adobe a publié une mise à jour pour Flash Player et lui a attribué une priorité de niveau 2, ce qui signifie qu’il n’y a pas d’attaques actives et imminentes. Microsoft a cependant classé cette vulnérabilité comme étant critique pour les systèmes qui font l’objet de mises à jour Flash via Microsoft.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close