Ce mois-ci Microsoft résout 77 vulnérabilités dont 15 classées comme critiques. Parmi ces dernières, 11 affectent les moteurs de scripts et les navigateurs tandis que les quatre autres concernent le serveur DHCP, GDI+, l’infrastructure .NET et l’ensemble des outils de développement logiciel Azure DevOps Server (anciennement Team Foundation Server).
En outre, Microsoft a publié des correctifs importants pour deux vulnérabilités activement exploitées facilitant une élévation de privilèges, ainsi que pour une exécution de code à distance sur SQL Server. Microsoft a également diffusé deux avis de sécurité concernant des vulnérabilités affectant Outlook sur le web et le noyau Linux. Concernant Adobe, l’éditeur vient tout juste de publier des correctifs pour Bridge CC, Experience Manager et Dreamweaver.
Déployer des patches pour les moteurs de script, les navigateurs, GDI+ et l’Infrastructure .NET est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs utilisés comme postes de travail distants.
Une vulnérabilité par exécution de code à distance (RCE) (CVE-2019-0785) est présente sur le serveur DHCP de Microsoft lorsque ce dernier est configuré pour une reprise après incident. Un attaquant ayant un accès depuis le réseau au serveur DHCP dédié à la reprise après incident pourrait ainsi exécuter du code de manière arbitraire. Ce correctif doit donc être déployé en priorité sur tous les systèmes exécutant un serveur DHCP en mode Reprise après incident.
Microsoft a publié des patches pour deux vulnérabilités facilitant une élévation de privilèges (CVE-2019-1132 et CVE-2019-0880) dans Win32k et splwow64 et qui ont été exploitées en aveugle. Même s’ils sont classés comme Importants, ces correctifs sont en fait prioritaires car une association avec d’autres vulnérabilités pourrait fournir un accès complet au système à un cyberattaquant.
Le Patch Tuesday de ce mois-ci résout également une vulnérabilité par exécution de code à distance (CVE-2019-1068) au sein du serveur Microsoft SQL Server. Classée comme Importante, cette vulnérabilité exige une authentification. Cependant, si elle est associée à une injection de code SQL, un cyberattaquant risque de compromettre complètement le serveur.
L’ensemble d’outils de développement logiciel Azure DevOps Server (ex-Team Foundation Server - TFS) est affecté par une vulnérabilité par exécution de code à distance (CVE-2019-1072) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Sont également concernés les utilisateurs anonymes si le serveur est configuré pour accepter ces derniers. Ce correctif est donc une priorité pour toutes les installations Azure DevOps ou TFS.
Microsoft a publié un avis de sécurité pour une vulnérabilité à base de scripts intersite (XSS) dans Outlook sur le web (anciennement OWA). Cette vulnérabilité permet à un attaquant d’envoyer un fichier SVG malveillant, même si l’utilisateur ciblé doit ouvrir ce fichier d’image vectorielle directement en le glissant vers un nouvel onglet ou en copiant l’URL dans un nouvel onglet. Même si ce scénario d’attaque reste improbable, Microsoft recommande de bloquer les fichiers au format SVG.
Plusieurs vulnérabilités DoS ont été rapportées en juin concernant le noyau Linux (CVE-2019-11477, CVE-2019-11478, CVE-2019-11479). Microsoft a publié un avis de sécurité fournissant des informations et des liens sur ces vulnérabilités.
Adobe a publié des correctifs pour Bridge CC, Experience Manager et Dreamweaver. Trois vulnérabilités sont corrigées dans Experience Manager tandis qu’une vulnérabilité est résolue dans Bridge et Dreamweaver. Aucune d’entre elles n’est considérée comme critique et le niveau de vulnérabilité le plus élevé pour chaque logiciel concerné est Important.