Patch Tuesday de juillet 2018 : des correctifs critiques pour les navigateurs, Lazy FP et vulnérabilités dans Exchange et Adobe
mer, 11/07/2018 - 16:18
Le Patch Tuesday de ce mois résout 54 vulnérabilités et expositions courantes (CVE) dont 17 critiques. À l'exception de deux, toutes les vulnérabilités critiques concernent les navigateurs Microsoft ou des technologies liées aux navigateurs. Une nouvelle vulnérabilité d'exécution spéculative annoncée en juin a aussi été corrigée. Adobe a également publié des correctifs pour de nombreux produits contenant chacun plusieurs CVE.
Vulnérabilités des navigateurs - Le 16 CVE concernant les navigateurs doivent être résolus en priorité pour les équipements de type postes de travail, c'est-à-dire tous les systèmes utilisés pour accéder à l'Internet public depuis un navigateur ou pour vérifier sa messagerie. Sont aussi concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.
Vulnérabilité Lazy FP State Restore - Dans la foulée du Patch Tuesday de juin, Microsoft a publié des informations sur toutes les versions de Windows supportées qui font l'objet d'une nouvelle attaque par canaux auxiliaires sur une exécution spéculative. Cette vulnérabilité s'apparente aux autres vulnérabilités Meltdown/Spectre et ne nécessite pas que l'attaquant exécute du code sur un système vulnérable. Des correctifs ont été diffusés à l'occasion de ce Patch Tuesday. Ils sont classés comme Importants.
PowerShell Editor Services - Une vulnérabilité a été corrigée au sein du module PowerShell Editor Services. Microsoft n'avait pas fourni de score de sévérité CVSS pour cette vulnérabilité au moment de la rédaction du présent billet mais l'a néanmoins classée comme Critique.
Microsoft Exchange / Bibliothèque Oracle Outside In - Microsoft avait aussi publié des correctifs urgents en juin pour Exchange Server pour résoudre des vulnérabilités au sein de la bibliothèque Oracle Outside In. Ces correctifs doivent être déployés en priorité pour tous les serveurs Exchange.
Adobe - Adobe a publié plusieurs correctifs pour Acrobat, Reader, Flash, Adobe Connect et Adobe Experience Manager. Les vulnérabilités au sein d'Acrobat, Reader et Flash ont été classées comme critiques. Flash contient un CVE critique tandis qu'Acrobat et Reader en contiennent plus de 50. Microsoft a diffusé des patches pour Flash utilisé sur les systèmes d'exploitation pris en charge par l'éditeur. Il s'agit d'une priorité pour tous les systèmes de type poste de travail.
Par Jimmy Graham dans The Laws of Vulnerabilities