Patch Tuesday de juillet - Patch Tuesday Novembre 2018

Patch Tuesday de juillet : correctifs critiques pour les navigateurs, Lazy FP et vulnérabilités dans Exchange et Adobe

Le Patch Tuesday de juillet corrige 54 vulnérabilités et expositions courantes (CVE) dont 17 critiques. À l’exception de deux, toutes les vulnérabilités critiques concernent les navigateurs Microsoft ou des technologies liées aux navigateurs. Une nouvelle vulnérabilité d’exécution spéculative annoncée en juin a aussi été corrigée. Adobe corrige de nombreux produits contenant chacun plusieurs CVE.

Vulnérabilités des navigateurs – Le 16 CVE concernant les navigateurs doivent être résolus en priorité pour les équipements de type postes de travail, c’est-à-dire tous les systèmes utilisés pour accéder à l’Internet public depuis un navigateur ou pour vérifier sa messagerie. Concernés aussi les serveurs multi-utilisateurs faisant office de postes de travail distants.

Vulnérabilité Lazy FP State Restore – Dans la foulée du Patch Tuesday de juin, Microsoft a publié des informations sur toutes les versions de Windows supportées qui font l’objet d’une nouvelle attaque par canaux auxiliaires sur une exécution spéculative. Cette vulnérabilité s’apparente aux autres vulnérabilités Meltdown/Spectre et ne nécessite pas que l’attaquant exécute du code sur un système vulnérable. Des correctifs à l’occasion de ce Patch Tuesday. Classés comme Importants.

PowerShell Editor Services – Une vulnérabilité corrigée au sein du module PowerShell Editor Services. Microsoft n’avait pas fourni de score de sévérité CVS pour cette vulnérabilité au moment de la rédaction du présent billet mais l’a néanmoins classée comme Critique.

Microsoft Exchange / Bibliothèque Oracle Outside In – Microsoft avait aussi publié des correctifs urgents en juin pour Exchange Server pour résoudre des vulnérabilités au sein de la bibliothèque Oracle Outside In. Ces correctifs à déployer en priorité pour tous les serveurs Exchange.

Adobe – Adobe a publié plusieurs correctifs pour Acrobat, Reader, Flash, Adobe Connect et Adobe Experience Manager. Les vulnérabilités au sein d’Acrobat, Reader et Flash classées comme critiques. Flash contient un CVE critique tandis qu’Acrobat et Reader en contiennent plus de 50. Microsoft a diffusé des patches pour Flash utilisé sur les systèmes d’exploitation pris en charge par l’éditeur. Il s’agit d’une priorité pour tous les systèmes de type poste de travail. (Par Jimmy Graham de Qualys).

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.