Patch Tuesday : un été chargé en vulnérabilités critiques

Jacques Cheminat,

Microsoft a livré ses correctifs de sécurité pour le mois d’août et la moisson est importante pour les failles critiques sur Windows et le moteur de script.

Les administrateurs systèmes ne chôment pas pendant l’été et Microsoft vient d’alimenter leur to do liste avec la livraison mensuelle des correctifs de sécurité. Au mois d’août, on recense 48 failles colmatées et 25 sont classées comme critique, le plus haut niveau dans le classement de Microsoft. Pour rappel, le mois dernier le Patch Tuesday comprenait 54 vulnérabilités corrigées, mais seulement 19 failles critiques.

Comme d’habitude, les spécialistes de la sécurité émettent des recommandations sur les priorités dans l’installation des correctifs. Pour Jimmy Graham, directeur produit chez Qualys, la priorité absolue est l’application du correctif pour la faille, CVE-2017-8620, dans le service de recherche de Windows. L’expert souligne que c’est la troisième fois que Microsoft corrige ce service à l’occasion des Patch Tuesday. Cette faille est exploitable à distance via SMB pour prendre le contrôle complet d’un système et peut impacter les serveurs et les stations de travail. Jimmy Graham précise que si la faille tire parti de SMB, elle n’est pas liée aux failles SMB récemment utilisées par EternalBlue, WannaCry et Petya.

Script Engine sur la sellette et SMBLoris ignoré

Autre élément à corriger rapidement, Scripting Engine comprend plusieurs failles, pouvant toucher les navigateurs et Office. Dans la partie navigateur, l’expert conseille d’appliquer le correctif lié à la vulnérabilité CVE-2017-8691 touchant Font Engine de Windows. Spécifiquement sur Edge et Windows, la brèche CVE-2017-0293 impliquant la visionneuse PDF doit être colmatée dans les plus brefs délais.

La plupart des chercheurs en sécurité s’étonne qu’aucun correctif n’existe contre les attaques SMBLoris, découvertes par deux chercheurs de RiskSense. Elles provoquent des dénis de service contre les systèmes dont le port 445 et le client SMB sont exposés. Cette attaque peut également être dirigée contre les serveurs Linux Samba. Présenté lors de la conférence Defcon, cet exploit n’a pas ému la firme de Redmond qui a refusé de corriger les failles découvertes.

Respectant le parallélisme des formes, Adobe profite du Patch Tuesday pour délivrer ses correctifs. Ces derniers réparent 67 vulnérabilités (dont 65 pour Acrobat et Reader et 2 pour Flash), dont 43 sont critiques. 65 concernent

A lire aussi :

19 vulnérabilités critiques dans le Patch Tuesday de juillet

Sécurité : le patch tuesday de Microsoft bat des records en juin