Patch Tuesday - Juillet 2018

Infosec juil. 12, 2018

Des correctifs critiques pour les navigateurs, Lazy FP et vulnérabilités dans Exchange et Adobe

Par Jimmy Graham dans The Laws of Vulnerabilities

Le Patch Tuesday de ce mois résout 54 vulnérabilités et expositions courantes (CVE) dont 17 critiques. À l’exception de deux, toutes les vulnérabilités critiques concernent les navigateurs Microsoft ou des technologies liées aux navigateurs. Une nouvelle vulnérabilité d’exécution spéculative annoncée en juin a aussi été corrigée. Adobe a également publié des correctifs pour de nombreux produits contenant chacun plusieurs CVE.

Vulnérabilités des navigateurs – Le 16 CVE concernant les navigateurs doivent être résolus en priorité pour les équipements de type postes de travail, c’est-à-dire tous les systèmes utilisés pour accéder à l’Internet public depuis un navigateur ou pour vérifier sa messagerie. Sont aussi concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Vulnérabilité Lazy FP State Restore – Dans la foulée du Patch Tuesday de juin, Microsoft a publié des informations sur toutes les versions de Windows supportées qui font l’objet d’une nouvelle attaque par canaux auxiliaires sur une exécution spéculative. Cette vulnérabilité s’apparente aux autres vulnérabilités Meltdown/Spectre et ne nécessite pas que l’attaquant exécute du code sur un système vulnérable. Des correctifs ont été diffusés à l’occasion de ce Patch Tuesday. Ils sont classés comme Importants.

PowerShell Editor Services – Une vulnérabilité a été corrigée au sein du module PowerShell Editor Services. Microsoft n’avait pas fourni de score de sévérité CVSS pour cette vulnérabilité au moment de la rédaction du présent billet mais l’a néanmoins classée comme Critique.

Microsoft Exchange / Bibliothèque Oracle Outside In – Microsoft avait aussi publié des correctifs urgents en juin pour Exchange Server pour résoudre des vulnérabilités au sein de la bibliothèque Oracle Outside In. Ces correctifs doivent être déployés en priorité pour tous les serveurs Exchange.

Adobe – Adobe a publié plusieurs correctifs pour Acrobat, Reader, Flash, Adobe Connect et Adobe Experience Manager. Les vulnérabilités au sein d’Acrobat, Reader et Flash ont été classées comme critiques. Flash contient un CVE critique tandis qu’Acrobat et Reader en contiennent plus de 50. Microsoft a diffusé des patches pour Flash utilisé sur les systèmes d’exploitation pris en charge par l’éditeur. Il s’agit d’une priorité pour tous les systèmes de type poste de travail.

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.