Patch Tuesday : un concentré de JavaScript au rayon des failles critiques

La bibliothèque PDF, les méthodes de saisie, le service d’indexation et le sous-système Linux : autant de composants Windows touchés par des failles critiques que Microsoft corrige avec le Patch Tuesday du mois d’août.

Cette fournée estivale est chargée : sur 48 vulnérabilités colmatées, 25 sont annoncées au plus haut niveau de criticité.

Elles concernent pour la plupart le moteur JavaScript, qui peut être exploité pour corrompre la mémoire et enclencher l’exécution de code à distance.

Dans ce cadre, les navigateurs Edge et Internet Explorer sont en première ligne, mais d’autres vecteurs existent, à l’image des contrôles ActiveX dans les applications compatibles.

Edge est aussi touché par des failles sans rapport direct avec le moteur JavaScript ; en l’occurrence, les CVE-2017-8661, CVE-2017-8653 et CVE-2017-8669. Ces deux dernières affectent aussi Internet Explorer 11.

Le moteur de base de données Jet figure également sur la liste de soins pour vulnérabilité critiques. Un dépassement de capacité (CVE-2017-0250) causé par un fichier malveillant peut donner un accès complet à la machine visée, sur l’ensemble des versions de Windows encore prises en charge.

L’OS est par ailleurs vulnérable au niveau de la mise en œuvre des tubes Unix dans le sous-système Linux (CVE-2017-8622, pouvant occasionner une élévation de privilèges), de la gestion des classes DCOM par les méthodes de saisie (CVE-2017-8591), du traitement des fichiers PDF (CVE-2017-0293) et de Windows Search (CVE-2017-8620).

Au rang des brèches considérées comme « importantes », on aura relevé du déni de service dans NetBIOS, Hyper-V et RDP. Mais aussi une élévation de privilèges dans le système de rapports d’erreurs, ainsi que des risques de fuite de données sur SQL Server.