Des risques d’altération de mémoire dans les moteurs de script, une porte ouverte à l’usurpation d’identité au niveau de l’analyse des réponses HTTP, une source potentielle de fuite d’informations dans une API… Les navigateurs Internet de Microsoft occupent une place centrale dans le dernier Patch Tuesday du mois de mars.
On recense 18 bulletins de sécurité, dont 9 qui corrigent au moins une vulnérabilité classée critique – pouvant systématiquement entraîner l’exécution de code à distance.
Internet Explorer est concerné par le bulletin MS17-006, qui corrige 12 failles, dont 5 dites critiques sur au moins une plate-forme.
Les plus graves (CVE-2017-0018, CVE-2017-0037 et CVE-2017-0149, cette dernière étant activement exploitée bien que non révélée publiquement) sont liées au traitement incorrect d’objets en mémoire. Elle pourraient permettre à un tiers situé à distance de prendre le contrôle d’une machine avec les droits de la session en cours.
Pour bénéficier d’une protection complète sur les systèmes Windows Vista et Server 2008, il est nécessaire d’installer, en plus de la mise à jour cumulative, le correctif de sécurité 3218362, qui colmate une brèche dans l’API de Microsoft Internet Messaging.
Le bulletin MS17-007 concerne Edge… avec plus de 30 failles listées, dont la plupart critiques sur les postes clients. On retrouve des vulnérabilités d’altération de mémoire, essentiellement dans les moteurs de script (18), mais aussi dans la bibliothèque PDF.
Hyper-V fait l’objet d’un bulletin dédié (MS17-008), avec deux failles critiques qui pourraient permettre d’exécuter du code arbitraire sur l’OS hôte en exploitant une application spécialement conçue sur un OS invité.
L’hyperviseur présente aussi des vulnérabilités au niveau de son commutateur réseau, ainsi que de la validation des paquets vSMB.
Le serveur Microsoft Server Message Block (SMBv1) a lui aussi son bulletin (MS17-010), qui corrige 6 failles, dont 5 critiques liées notamment à la manière dont certaines requêtes sont traitées.
La bibliothèque PDF de Windows et les services Uniscribe pour l’affichage de texte ont eux aussi des soucis avec la gestion des objets en mémoire. La première est corrigée par le bulletin MS17-009 ; le second, par le MS17-011.
Windows a également son bulletin (MS17-012). Y sont résorbées, pêle-mêle, des brèches liées à la validation, par Device Guard, d’éléments de script PowerShell signés, au déréférencement NULL dans SMBv2/v3, au client DNS, au service Serveur iSNS, à la validation des entrées avant chargement des fichiers DLL et à l’application des autorisations RunAs lors de l’enregistrement d’objets DCOM.
Le composant Microsoft Graphics est lui aussi de ce Patch Tuesday, sur toutes les versions de Windows encore prises en charge, ainsi que sur Office (2007, 2010), Lync (2010, 2013), Skype Entreprise 2016 et Silverlight. Des failles existent notamment dans le module de gestion des couleurs, comme en témoigne le bulletin MS17-013.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…