Après la problématique mise à jour de sécurité de novembre, qui a provoqué des bugs dans Windows 10 1809, Microsoft vient de livrer celle de décembre. Celle-ci intervient sur 39 vulnérabilités dont 9 sont qualifiées de critiques, liées au navigateur web Edge, à Windows et au framework .net, et les autres d’importantes. Elle corrige en particulier une faille zero-day, CVE-2018-8611, exploitée activement sur Windows. Il s’agit d’une faille d’élévation de privilèges sur le noyau Windows. C’est le 3ème mois de suite que l’éditeur de Redmond traite une vulnérabilité de ce type sur le noyau Win32K. Comme les deux précédentes, elle a été signalée par les chercheurs de Kaspersky Labs comme exploitée dans des malwares, en combinaison avec d’autres (cf securelist.com).

L’une des failles critiques, CVE-2018-8626, expose les serveurs Windows configurés en serveurs DNS (Domain Name System). Elle permettrait à un attaquant d’exécuter du code arbitraire dans le cadre du Local System Account, à la suite de requêtes malveillante adressée au serveur DNS Windows. Celle qui concerne le framework .net, CVE-2018-8540, permettrait à un attaquant de prendre le contrôle du système pour installer des programmes, lire, modifier, détruire des données ou créer de nouveaux comptes avec la totalité des droits utilisateurs.

Cinq failles critiques sur le moteur Chakra dans Edge

Au nombre des autres failles critiques, le site zerodayinitiative insiste aussi sur celle qui touche Microsoft text-to-speech, CVE-2018-8634, et qui permettrait d’exécuter du code à distance, là aussi pour installer des programmes, lire, modifier, supprimer des données ou créer des comptes ayant tous les droits. Par ailleurs, cinq failles critiques concernent des failles de corruption de mémoire sur le moteur de script Chakra du navigateur web Edge (CVE-2018-8583, CVE-2018-8617, CVE-2018-8618, CVE-2018-8624, CVE-2018-8629). Une autre porte sur une faille de corruption de mémoire dans le navigateur Internet Explorer, CVE-2018-8631.

Parmi les failles qualifiées d’importantes, on trouve, entre autres, des correctifs pour SharePoint, Excel, Outlook, Exchange Server, PowerPoint, Dynamics NAV, ainsi que pour le Windows Azure Pack, DirectX et pour le runtime RPC. Concernant les correctifs se rapportant aux logiciels d'Adobe, ce dernier a déjà fait une livraison pour corriger Flash, le 5 décembre, sans attendre la date prévue pour la mise à jour de sécurité mensuelle. Hier, l'éditeur a publié un nouveau bulletin daté du 11 décembre avec plusieurs dizaines de correctifs pour Acrobat et Acrobat Reader. Pour sa part, Microsoft a diffusé un bulletin d'alerte sur les failles concernant Flash, CVE-2018-15982, jugée critique et déjà exploitée, et CVE-2018-15983, qualifiée d’importante.