Parce qu'il y a toujours une solution...

74 vulnérabilités, dont 13 critiques, une vulnérabilité dans IE activement attaquée, attaques Escape sur Hyper-V et correctifs Adobe

Publié par Jimmy Graham dans The  Laws of Vulnerabilities

Le dernier  Patch Tuesday de Microsoft traite 74 vulnérabilités dont 13 classées comme critiques. Parmi elles, 5 affectent les navigateurs et les moteurs  de script, pour les 8 autres  vulnérabilités critiques, 4 sont de potentielles attaques contre l'hyperviseur Hyper-V tandis que les autres affectent Microsoft  Exchange, Win32k, Windows Media Foundations et OpenType. Le Patch  Tuesday d'Adobe a été publié dans les délais ce mois-ci et il  résout 11 vulnérabilités réparties sur Animate, Illustrator, Media  Encoder et Bridge.

Correctifs pour postes de travail

Le déploiement  de patches pour les moteurs de script, les navigateurs, Win32k, WMF et  OpenType devrait être une priorité pour les équipements de type poste de  travail, c'est-à-dire  tous les systèmes utilisés pour accéder à la messagerie ou à Internet  depuis un navigateur. Sont également concernés les serveurs  multi-utilisateurs faisant office de postes de travail distants.

L'une des vulnérabilités affectant les moteurs de script (CVE-2019-1429) impactant Internet Explorer a été répertoriée par Microsoft comme attaquée activement et de  manière aveugle.

Microsoft Exchange

Le bulletin de sécurité fournit peu de détails sur la vulnérabilité par exécution de code à distance (CVE-2019-1373)  dans Microsoft Exchange. Dans le bulletin, il est indiqué que  l'utilisateur doit exécuter des command-lets PowerShell sur le serveur  Exchange, mais aucun niveau de privilèges nécessaire à l'exploitation de  la vulnérabilité n'est précisé. En l'absence d'information,  il est donc recommandé pour l'instant de donner la priorité à ce  correctif pour tous les serveurs Microsoft Exchange.

Attaques Escape contre l'hyperviseur Hyper-V

Quatre vulnérabilités par exécution de code à distance (CVE-2019-1389, CVE-2019-1397, CVE-2019-1398 et CVE-2019-0721)  sont corrigées dans Hyper-V et le système Hyper-V Network Switch. Elles  permettaient à un utilisateur authentifié sur un système invité  d'exécuter du code arbitraire sur l'hôte. Microsoft signale que  l'exploitation de ces vulnérabilités est moins probable,  mais ces patches restent tout de même une priorité pour les systèmes  Hyper-V.

Recommandations pour la vulnérabilité affectant les composants TPM

Microsoft a également publié un avis  de sécurité concernant une vulnérabilité au sein de certaines puces TPM (Trusted Platform Module)de STMicroelectronics. Cette vulnérabilité impacte la confidentialité au sein de l'algorithme de chiffrement ECDSA. Même si il  n'y a pas de vulnérabilités dans Windows même, une mise à jour du  microprogramme de la puce TPM peut s'avérer nécessaire. Le lien vers le  fournisseur mentionné dans l'avis  de sécurité ne pointe pas vers le bon site, et même en le suivant  manuellement, la page indiquée semble inaccessible pour l'instant.

Adobe

Le Patch Tuesday d'octobre d'Adobe n'avait pas été publié dans les délais, il traitait à la fois de Acrobat/Reader, Download  Manager, Experience  Manager et de Experience  Manager Forms. Les correctifs pour Acrobat/Reader traitent au global 45  vulnérabilités critiques et doivent être déployés en priorité sur les  postes de travail où ces logiciels sont installés. Le patch destiné à  Experience Manager corrige également  une vulnérabilité critique. Adobe a attribué le niveau de Priorité  2 aux patches Acrobat/Reader et Experience Manager et le niveau de Priorité  3 aux autres correctifs.

Pour le Patch Tuesday de novembre, Adobe a publié des correctifs de sécurité destinés à Animate, Illustrator, Media  Encoder et Bridge.  Le patch pour Illustrator corrige 2 vulnérabilités critiques tandis que  le correctif pour Media Encoder en traite une. Adobe a attribué le  niveau de Priorité  3 à l'ensemble de ces correctifs.