Pas moins de 81 vulnérabilités sont traitées dans le bulletin de sécurité, le Security Updates (ex-Patch Tuesday) de septembre pour Microsoft.
Elles touchent quasiment tout les principaux produits de l’éditeur que ce soit les navigateurs Edge et Internet Explorer (11, 10 et 9), Excel Services, le pack Office, dont Outlook, les plates-formes Windows 10, 8.1 (y compris RT), 7 ainsi que les versions serveurs de l’OS de Redmond (de 2008 à 2016), le framework .NET, Skype… auxquels viennent se greffer les désormais habituels correctifs pour Adobe Flash.
A lui seul, Windows est affecté de 38 failles.
Au total, 27 vulnérabilités sont classées comme critiques. Mais 39 permettent d’exécuter du code à distance.
Microsoft souligne par ailleurs qu’une brèche affectant Hololens, son casque de réalité augmentée, est actuellement exploitée.
Parmi cette avalanche de correctifs, les administrateurs devraient accorder la priorité à la vulnérabilité CVE-2017-0161 qui affecte NetBIOS. Exploitée, elle ouvre la voie à une exécution de code à distance sur les serveurs et postes individuels.
Autre priorité à potentiellement privilégier en urgence, la CVE-2017-8686 qui permet la corruption de mémoire du serveur DHCP si ce dernier est en mode basculement (failover).
La faille CVE-2017-8759 est, elle, actuellement exploitée, selon la firme FireEye. Bien que classée parmi les 54 brèches « importantes », elle touche .NET.
« Un attaquant qui exploite avec succès cette vulnérabilité dans un logiciel utilisant le framework .NET peut prendre le contrôle d’un système affecté, indique Microsoft. Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créer de nouveaux comptes avec des droits d’utilisateur complets. »
L’attaquant devra néanmoins convaincre l’utilisateur d’ouvrir un document infectieux ou une application du même tonneau.
Trois autres bugs, CVE-2017-9417 (qui affecte un composant Broadcom de HoloLens), CVE-2017-8746 (contournement de Device Guard pour injecter du code malveillant dans une session PowerShell), et CVE-2017-8723 (contournement des règles de sécurité dans Edge, une faille différente de celle récemment publiée par Cisco Talos que Microsoft ne compte pas corriger), sont également publics. Mais apparemment non exploités. Ce qui pourrait ne plus tarder désormais.
Notons enfin que 22 vulnérabilités critiques touchent les navigateurs maison à travers le moteur de script (Scripting Engine). Lequel peut impacter également les applications Office à travers le navigateur (comme les e-mails en premier lieu).
Comme il se doit, il conviendra de mettre à jour les systèmes affectés le plus rapidement possible.
Lire également
Sécurité : le patch tuesday de Microsoft bat des records en juin
Sécurité : Microsoft automatise la recherche de bugs
Windows 10 trop lourd à digérer pour les consommateurs allemands
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…