Le correctif mardi d’octobre de Microsoft corrige 12 vulnérabilités critiques

Microsoft vient de publier ses dernières mises à jour mensuelles Patch Tuesday pour octobre 2018, corrigeant un total de 49 vulnérabilités de sécurité de ses produits.

Les mises à jour de sécurité de ce mois-ci corrigent des vulnérabilités de sécurité dans Microsoft Windows, le navigateur Edge, Internet Explorer, les services MS Office, les applications Web, les applications Web, ChakraCore, SQL Server Management Studio et Exchange Server.

Sur les 49 failles corrigées ce mois-ci, 12 sont considérées comme critiques, 35 comme étant importantes, une modérée et une de faible gravité.

Trois de ces vulnérabilités corrigées par le géant de la technologie sont répertoriées comme « connues publiquement » au moment de la publication, et une faille aurait été activement exploitée dans la nature.

Correctifs Windows Update : une faille importante dans l’attaque active

Selon l’ avis de Microsoft , un groupe d’attaques non divulgué exploite activement une vulnérabilité importante d’élévation des privilèges (CVE-2018-8453) dans le système d’exploitation Microsoft Windows pour prendre le contrôle intégral des systèmes ciblés.

Cette faille existe lorsque le composant Win32K (pilotes en mode noyau) ne parvient pas à gérer correctement les objets en mémoire, ce qui permet à un attaquant d’exécuter du code arbitraire en mode noyau à l’aide d’une application spécialement conçue.

Les mises à jour de ce mois corrigent également une vulnérabilité critique d’exécution de code à distance dans Microsoft Windows et affectent toutes les versions de Windows prises en charge, notamment Windows 10, 8.1, 7 et Server 2019, 2016, 2012 et 2008.

La vulnérabilité ( CVE-2018-8494) réside dans le composant d’analyse syntaxique de Microsoft XML Core Services (MSXML), qui peut être exploité en transmettant du contenu XML illicite via l’entrée de l’utilisateur.

Un attaquant peut exécuter à distance un code malveillant sur un ordinateur ciblé et prendre le contrôle intégral du système simplement en persuadant les utilisateurs de consulter un site Web spécialement conçu, conçu pour appeler MSXML via un navigateur Web.

Microsoft corrige trois failles divulguées publiquement

Les détails de l’une des trois vulnérabilités révélées publiquement ont été révélés à la fin du mois dernier par un chercheur en sécurité après que la société n’ait pas corrigé le bogue dans le délai de 120 jours.

La vulnérabilité, marquée comme importante et affectée CVE-2018-8423, réside dans le moteur de base de données Microsoft Jet, qui pourrait permettre à un attaquant d’exécuter à distance un code malveillant sur n’importe quel ordinateur Windows vulnérable.

Pour preuve de concept exploit code et plus de détails sur cette vulnérabilité , vous pouvez lire notre article.

Deux autres vulnérabilités révélées publiquement sont également considérées comme importantes et résident dans le noyau Windows (CVE-2018-8497) et le SDK de client de périphérique Azure IoT Hub (CVE-2018-8531), qui entraînent respectivement une augmentation des privilèges et l’exécution de code à distance.

Les mises à jour de sécurité incluent également des correctifs pour 9 vulnérabilités de corruption de mémoire critiques (2 dans Internet Explorer, 2 dans Microsoft Edge, 4 dans Chakra Scripting Engine et 1 dans Scripting Engine), toutes conduisant à l’exécution de code à distance sur le système ciblé.

En outre, Microsoft a également publié une mise à jour pour Microsoft Office qui offre une sécurité renforcée comme mesure de défense en profondeur.

Il est vivement conseillé aux utilisateurs et aux administrateurs système d’appliquer ces correctifs de sécurité dès que possible pour empêcher les pirates informatiques et les cybercriminels de prendre le contrôle de leurs systèmes.

Pour installer les mises à jour de correctifs de sécurité, allez directement dans Paramètres → Mise à jour et sécurité → Windows Update → Rechercher des mises à jour, ou vous pouvez installer les mises à jour manuellement.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image