Patch Tuesday : Microsoft reprend le rythme avec 9 bulletins critiques
Annulé en février, le Patch Tuesday revient. Outre les « habituels » (Windows, Edge, IE, Office…), Uniscribe et Hyper-V sont au menu.
Des risques d’altération de mémoire dans les moteurs de script, une porte ouverte à l’usurpation d’identité au niveau de l’analyse des réponses HTTP, une source potentielle de fuite d’informations dans une API… Les navigateurs Internet de Microsoft occupent une place centrale dans le dernier Patch Tuesday du mois de mars.
On recense 18 bulletins de sécurité, dont 9 qui corrigent au moins une vulnérabilité classée critique – pouvant systématiquement entraîner l’exécution de code à distance.
Internet Explorer est concerné par le bulletin MS17-006, qui corrige 12 failles, dont 5 dites critiques sur au moins une plate-forme.
Les plus graves (CVE-2017-0018, CVE-2017-0037 et CVE-2017-0149, cette dernière étant activement exploitée bien que non révélée publiquement) sont liées au traitement incorrect d’objets en mémoire. Elle pourraient permettre à un tiers situé à distance de prendre le contrôle d’une machine avec les droits de la session en cours.
Pour bénéficier d’une protection complète sur les systèmes Windows Vista et Server 2008, il est nécessaire d’installer, en plus de la mise à jour cumulative, le correctif de sécurité 3218362, qui colmate une brèche dans l’API de Microsoft Internet Messaging.
Le bulletin MS17-007 concerne Edge… avec plus de 30 failles listées, dont la plupart critiques sur les postes clients. On retrouve des vulnérabilités d’altération de mémoire, essentiellement dans les moteurs de script (18), mais aussi dans la bibliothèque PDF.
Des clients et des serveurs
Hyper-V fait l’objet d’un bulletin dédié (MS17-008), avec deux failles critiques qui pourraient permettre d’exécuter du code arbitraire sur l’OS hôte en exploitant une application spécialement conçue sur un OS invité.
L’hyperviseur présente aussi des vulnérabilités au niveau de son commutateur réseau, ainsi que de la validation des paquets vSMB.
Le serveur Microsoft Server Message Block (SMBv1) a lui aussi son bulletin (MS17-010), qui corrige 6 failles, dont 5 critiques liées notamment à la manière dont certaines requêtes sont traitées.
La bibliothèque PDF de Windows et les services Uniscribe pour l’affichage de texte ont eux aussi des soucis avec la gestion des objets en mémoire. La première est corrigée par le bulletin MS17-009 ; le second, par le MS17-011.
Windows a également son bulletin (MS17-012). Y sont résorbées, pêle-mêle, des brèches liées à la validation, par Device Guard, d’éléments de script PowerShell signés, au déréférencement NULL dans SMBv2/v3, au client DNS, au service Serveur iSNS, à la validation des entrées avant chargement des fichiers DLL et à l’application des autorisations RunAs lors de l’enregistrement d’objets DCOM.
Le composant Microsoft Graphics est lui aussi de ce Patch Tuesday, sur toutes les versions de Windows encore prises en charge, ainsi que sur Office (2007, 2010), Lync (2010, 2013), Skype Entreprise 2016 et Silverlight. Des failles existent notamment dans le module de gestion des couleurs, comme en témoigne le bulletin MS17-013.