54 vulnérabilités dont 19 critiques dans le Patch Tuesday de Juillet

Posted On 13 Juil 2017

Tag: juillet 2017, July Patch Tuesday, mise à jour, vulnérabilités

Dans le cadre du Patch Tuesday de juillet, Microsoft publie des correctifs qui résolvent 54 vulnérabilités dont 26 affectent Windows. Les correctifs traitant 19 de ces vulnérabilités sont définis comme « critiques », c’est-à-dire qu’ils peuvent entraîner l’exécution de code malveillant à distance (RCE). Selon Microsoft, aucune de ces vulnérabilités n’est actuellement exploitée en mode aveugle.

Priorité absolue à la résolution de CVE-2017-8589, une vulnérabilité au sein du service de recherche Windows. En effet, cette vulnérabilité peut être exploitée à distance via le protocole SMB pour faciliter la prise de contrôle total d’un système. Elle peut impacter aussi bien les serveurs (Windows Server 2016, 2012, 2008 R2, 2008) que les postes de travail (Windows 10, 7 et 8.1). Même si cette vulnérabilité peut utiliser SMB comme vecteur d’attaque, il ne s’agit pas d’une vulnérabilité au sein du protocole SMB lui-même. Aucun rapport donc avec les récentes vulnérabilités SMB exploitées par EternalBlue, WannaCry et Petya.

Mis à part CVE-2017-8589, l’autre priorité en matière de correction des postes de travail et des systèmes multi-utilisateur concerne CVE-2017-8563, un patch qui résout une vulnérabilité affectant l’Explorateur Windows et de nombreuses vulnérabilités dans les navigateurs Internet Explorer et Edge. Même si leur exploitation exige une interaction avec l’utilisateur, ces vulnérabilités pourraient devenir des cibles faciles pour les kits d’exploits.

Adobe a également publié le bulletin de sécurité APSB17-21 qui fournit des correctifs pour trois vulnérabilités et est donc classé comme critique. En plus de ces patches, Microsoft a publié une mise à jour pour Adobe Flash pour Windows 8.1, Windows 10, Windows Server 2012 et Windows Server 2016. Priorité donc à la correction des postes de travail et systèmes multi-utilisateurs.

Le volume de patches publiés pour juillet traite 54 vulnérabilités au sein de Windows, Internet Explorer, Edge, Office, .net Framework, Adobe Flash et Exchange. Les priorités définies ici s’appuient sur les informations actuellement disponibles et ce blog sera actualisé en cas de modifications du paysage des menaces. (par Jimmy Graham dans The Laws of Vulnerabilities)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.