Patch Tuesday, Mars 2018
75 vulnérabilités chez Microsoft contre 7 pour Adobe
Publié par Jimmy Graham dans The Laws of Vulnerabilities
Le Patch Tuesday de ce mois-ci traite de nombreuses vulnérabilités, mais il reste léger en termes de mises à jour critiques. En effet, parmi les 75 vulnérabilités résolues, seulement 15 sont définies comme critiques. Quant à Adobe, l'éditeur a également diffusé des patches pour traiter 7 vulnérabilités critiques.
Toutes les vulnérabilités critiques découvertes par Microsoft se trouvent au sein des navigateurs et des technologies associées à ces derniers. Il est recommandé de les traiter en priorité pour les équipements de type postes de travail. Tout système qui se connecte à Internet via un navigateur doit être corrigé.
CredSSP
Parmi les autres vulnérabilités classées comme « Importantes », la plus visible est la CVE-2018-0886, une vulnérabilité au sein du protocole CredSSP qui permet de traiter les requêtes d'authentification. Même si CredSSP sert à d'autres applications, le scénario d'attaque mentionné par Microsoft implique le protocole RDP (Remote Desktop Protocol). La mise à jour concerne à la fois le protocole CredSSP utilisé par le serveur RDP ainsi que les clients RDP. Les paramètres de stratégie de groupe (GPO) doivent être activés pour garantir l'atténuation complète de la vulnérabilité pour RDP. Microsoft a également communiqué un calendrier provisoire pour des mises à jour supplémentaires. En avril, de nouvelles versions du client RDP seront publiées. Elles contiendront des messages d'erreur plus appropriés tandis qu'en mai, une nouvelle mise à jour empêchera les clients de se connecter au moyen de versions non sécurisées du protocole CredSSP.
Shell Windows
À noter aussi CVE-2018-0883, une vulnérabilité permettant d'exécuter du code à distance (RCE) dans le Shell de Windows. Même si, pour ce faire, l'utilisateur doit au préalable télécharger et ouvrir un fichier malveillant qui permet d'exploiter cette vulnérabilité, ce patch est une priorité pour les systèmes de type postes de travail.
Meltdown/Spectre
Microsoft a également publié des correctifs pour Meltdown et Spectre qui traitent davantage de systèmes d'exploitation. Les versions 32 bits de Windows 7 et 8.1 ainsi que Server 2008 et 2012 profitent désormais de mesures d'atténuation pour Meltdown et Spectre. Aucune attaque contre ces vulnérabilités n'a encore été signalée.
Adobe
Concernant Adobe, une mise à jour publiée pour Flash est distribuée par Microsoft et Adobe pour traiter toutes les plateformes supportées. Ce patch résout deux vulnérabilités critiques et doit être déployé en priorité sur les équipements de type postes de travail. Aucune attaque active n'est encore à déplorer contre ces vulnérabilités. Des mises à jour ont également été publiées pour Adobe Connect et Dreamweaver pour résoudre 3 vulnérabilités supplémentaires. À noter enfin que la vulnérabilité Dreamweaver est classée comme Critique.