Microsoft a publié aujourd’hui des mises à jour logicielles pour combler près de 80 failles de sécurité dans son les fenêtres systèmes d’exploitation et logiciels connexes. Parmi eux se trouvent des correctifs pour deux failles zero-day qui sont activement exploitées dans la nature, et des correctifs pour annuler quatre autres bogues qui ont été publiquement détaillés avant aujourd’hui, donnant potentiellement aux attaquants une longueur d’avance pour déterminer comment les utiliser à des fins néfastes. .
Mis à part les failles zero-day et divulguées publiquement pour le moment, la vulnérabilité la plus grave abordée dans le lot de correctifs de ce mois-ci (du moins pour les entreprises) réside une fois de plus dans le composant de Windows responsable de l’attribution automatique d’adresses Internet aux ordinateurs hôtes – une fonction appelé le « Serveur DHCP Windows.”
La faiblesse du DHCP (CVE-2019-0785) existe dans la plupart des versions prises en charge du serveur Windows, à partir de Serveur Windows 2012 par Serveur 2019.
Microsoft a déclaré qu’un attaquant non authentifié pourrait utiliser la faille DHCP pour prendre le contrôle total et à distance des systèmes vulnérables simplement en envoyant un paquet de données spécialement conçu à un ordinateur Windows. Pour ceux qui comptent, c’est la cinquième fois cette année que Redmond corrige une faille aussi critique dans le client DHCP de Windows.
Au total, seules 15 des 77 failles corrigées aujourd’hui ont obtenu la cote « critique » la plus grave de Microsoft, une étiquette attribuée aux failles que les logiciels malveillants ou les malfaiteurs pourraient exploiter pour réquisitionner les ordinateurs avec peu ou pas d’aide des utilisateurs. Il convient de noter que 11 des 15 failles critiques sont présentes ou constituent un élément clé des navigateurs intégrés à Windows, à savoir, Bord et l’Internet Exploseur Explorateur.
L’un des défauts du jour zéro – CVE-2019-1132 — affecte Windows 7 et Serveur 2008 systèmes. L’autre – CVE-2019-0880 — est présent dans Windows 8.1, Serveur 2012 et les systèmes d’exploitation ultérieurs. Les deux permettraient à un attaquant de prendre le contrôle total d’un système affecté, bien que chacun soit ce qu’on appelle une vulnérabilité d' »élévation de privilège », ce qui signifie qu’un attaquant aurait déjà besoin d’avoir un certain niveau d’accès au système ciblé.
CVE-2019-0865 est un bogue de déni de service dans une bibliothèque cryptographique open source Microsoft qui pourrait être utilisé pour bloquer les ressources système sur un ordinateur Windows 8 affecté. Il a été rendu public il y a un mois par Le projet zéro de Google opération de chasse aux bogues après Microsoft aurait n’a pas répondu dans le délai de divulgation de 90 jours indiqué par Project Zero.
L’autre défaut détaillé publiquement avant aujourd’hui est CVE-2019-0887qui est une faille d’exécution de code à distance dans Services de bureau à distance (RDP) composant de Windows. Cependant, ce bogue nécessiterait également qu’un attaquant ait déjà compromis un système cible.
Heureusement, il ne semble pas y avoir de mises à jour de sécurité pour Adobe Flash Player ce mois-ci.
Clause de non-responsabilité standard : les correctifs sont importants, mais cela ne fait généralement pas de mal d’attendre quelques jours avant que Microsoft ne corrige les problèmes dans les correctifs, qui introduisent parfois des problèmes de stabilité ou de convivialité avec Windows après la mise à jour (BreachTrace s’efforcera de mettre à jour ce message dans le cas où de gros problèmes avec ces correctifs apparaissent).
En tant que tel, c’est une bonne idée de prendre l’habitude de sauvegarder votre système – ou à tout le moins vos données – avant d’appliquer des mises à jour. Le fait est que les nouvelles versions de Windows (par exemple, Windows 10+) par défaut iront de l’avant et décideront pour vous quand cela doit être fait (souvent, c’est au milieu de la nuit). Mais ce réglage peut être changé.
Si vous rencontrez des problèmes lors de l’installation de l’un des correctifs ce mois-ci, n’hésitez pas à laisser un commentaire à ce sujet ci-dessous ; il y a de fortes chances que d’autres lecteurs aient vécu la même chose et peuvent même apporter des conseils et astuces utiles.
Lecture complémentaire :
Défendable [full disclosure: Tenable is an advertiser on this blog].