Patch Tuesday – Mars 2019

Infosec mars 26, 2019

65  vulnérabilités dont 18  critiques, des vulnérabilités RCE dans le client DHCP et des failles Adobe

Publié par Jimmy Graham dans The Laws of Vulnerabilities

Le Patch Tuesday du mois de mars corrige 65 vulnérabilités dont 18 identifiées comme critiques. 13 de ces vulnérabilités critiques concernent les moteurs de scripts et des composants de navigateur et impactent les navigateurs Microsoft ainsi que la suite Office.

Trois vulnérabilités entraînant une exécution de code à distance (RCE) sont corrigées sur le client DHCP de Windows de même qu’une vulnérabilité RCE sur le serveur TFTP exécutant des services de déploiement Windows et une élévation de privilèges dans Microsoft Dynamics 365. Le volume de patches publiés par Adobe ce mois-ci est plutôt léger et corrige seulement deux vulnérabilités et exposition courantes (CVE) dans Photoshop CC et Digital Editions.

Correctifs pour les postes de travail

Les patches pour les navigateurs, le moteur de script, ActiveX et MSXML sont une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont concernés les serveurs multi-utilisateurs qui servent de postes de travail distants à des utilisateurs.

Client DHCP Windows

Le client DHCP Windows étant utilisé sur les postes de travail et les serveurs, le déploiement de patches pour résoudre les trois vulnérabilités RCE doit être une priorité pour tous les systèmes Windows.

Serveur TFTP exécutant des services de déploiement Windows (WDS)

Si vous utilisez les services de déploiement Windows, ce patch doit être déployé en priorité dans la mesure où l’exploitation de la vulnérabilité affectant ces services peut entraîner l’exécution de code à distance sur le serveur concerné.

Microsoft Dynamics 365

Les déploiements sur site de Microsoft Dynamics 365 sont vulnérables aux élévations de privilèges si bien que le déploiement de correctifs pour ce système doit également être traité en priorité.

Avis de sécurité Microsoft

Microsoft a également publié trois avis de sécurité qui traitent différents sujets :

  • L’avis      ADV190009     annonce la prise en charge de la signature du code SHA-2 pour      Windows 7 SP1 et Windows Server 2008 R2. Cette mise à jour      sera nécessaire     pour tous les nouveaux correctifs publiés après juillet 2019. Les      versions plus anciennes du serveur WSUS (Windows Server Update Services)      doivent également être mises à jour afin de pouvoir distribuer les      nouveaux patchs signés par l’algorithme de hachage SHA-2.
  • L’avis      ADV190010     fournit des recommandations sur le partage entre plusieurs utilisateurs      d’un même compte utilisateur. Microsoft déconseille ce comportement qu’il      considère comme un risque de sécurité majeur.
  • L’avis      ADV190005     fournit quant à lui des atténuations pour un possible déni de service dans      http.sys lors de la réception de requêtes HTTP/2. Le patch permet de      définir une limite pour le nombre de paramètres SETTINGS à envoyer lors      d’une même requête.

Adobe

Adobe a publié des correctifs non sécuritaires pour Flash ainsi que des patchs de sécurité critiques pour Photoshop CC et Digital Editions, chacun de ces deux produits étant affecté par une vulnérabilité.

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.