Patch Tuesday, Janvier 2019
Anne Lenoir
#Events | #DigitalEvents I #Communications | #PR | #Marketing | #DigitalMarketing I #IT sector I #Cybersecurity
47 vulnérabilités dont 7 critiques et des vulnérabilités Adobe
Par Jimmy Graham - The Laws of Vulnerabilities
De taille moyenne, le premier Patch Tuesday de l'année permet de résoudre 47 vulnérabilités dont seulement 7 sont considérées comme critiques. 26 de ces vulnérabilités concernent les serveurs Windows et des systèmes d'exploitation pour postes de travail. Deux des vulnérabilités critiques concernent Hyper-V et pourraient conduire à l'exécution de code à distance (RCE) sur le système hôte. En outre, Microsoft a publié un correctif en urgence en décembre pour les versions 9 à 11 d'Internet Explorer en raison d'attaques actives à l’aveugle.
Quant à Adobe, l'éditeur a publié des correctifs en urgence la semaine dernière pour Acrobat et Reader afin de résoudre deux vulnérabilités critiques.
Patches pour postes de travail
Les patches pour les navigateurs et le moteur de script sont une priorité pour les équipements de type poste de travail, c'est-à-dire tous les systèmes utilisés pour accéder à sa messagerie ou à Internet depuis un navigateur. Sont concernés, les serveurs multi-utilisateurs utilisés comme poste de travail distant. Quatre des sept vulnérabilités critiques concernent Chakra / Microsoft Edge et devraient être traitées en priorité pour ces types de systèmes.
Patch pour IE en urgence
Le 19 novembre, Microsoft a publié un patch en urgence (CVE-2018-8653) pour les versions 9 à 11 d'Internet Explorer à cause d'attaques actives en mode aveugle contre cette vulnérabilité. Ce patch est également une priorité pour tous les équipements de type poste de travail.
Hyper-V
Deux des vulnérabilités concernent Hyper-V et pourraient conduire à un exploit de type Évasion de machines virtuelles (VM). Microsoft les considère comme moins susceptible d'être exploitées, mais le déploiement de ces correctifs critiques sur les hôtes Hyper-V doit rester une priorité.
Patches Adobe
Adobe a publié des patches pour Flash, mais ces derniers ne contiennent pas de mises à jour de sécurité. Cependant, des patches de sécurité ont été publiés pour Adobe Digital Editions et Adobe Connect afin de traiter deux vulnérabilités CVE importantes. En outre, Adobe a publié des patches urgents la semaine dernière pour traiter deux vulnérabilités critiques dans Acrobat et Reader. Ces patches doivent également être déployés en priorité sur tous les équipements de type poste de travail.