Patch Tuesday : un exploit actif doit être traité

Posted On 11 Mai 2018

Le Patch Tuesday de mai contient de nombreux correctifs tant pour les systèmes d’exploitation que les navigateurs. Au total 67 vulnérabilités et expositions courantes (CVE) uniques sont traitées dans 17 bulletins de la base de connaissances avec 21 CVE critiques.

Pour la Patch Tuesday de ce mois de mai 2018 : 32 CVE concernent l’exécution de code à distance (RCE), 19 étant critiques. Pour ceux qui utilisent Hyper-V, des mises à jour sont disponibles.

En priorité, nous recommandons de corriger les actifs en frontal avec les utilisateurs, avec une attention toute particulière pour les OS, les navigateurs et Office afin de résoudre les vulnérabilités du moteur de script.

Nous vous recommandons de commencer par tester et déployer les correctifs pour CVE-2018-8174 qui affecte la manière dont le moteur de script traite les objets en mémoire. Comme Microsoft attribuant la mention « Exploitation détectée » à ce patch, une mise à jour doit être immédiatement déployée.

En général, les navigateurs sont lourdement ciblés et ce mois-ci ne fait pas exception. En effet, 18 CVE sont marquées comme critiques et classées par Microsoft comme pouvant faire l’objet d’une « Exploitation probable ». Il est donc conseillé d’installer les mises à jour cumulatives chaque fois que possible pour protéger tous les systèmes qui utilisent un navigateur pour accéder à Internet.

En outre, Hyper-V fait désormais l’objet d’une certaine attention. Même si les vulnérabilités concernant Hyper-V sont considérées comme moins susceptibles d’être exploitées, il est opportun de déployer des mises à jour pour l’hyperviseur. En effet, deux vulnérabilités pourraient permettre à un système d’exploitation invité de compromettre la machine hôte. CVE-2018-0961 concerne l’exploitation de paquets vSMB tandis que CVE-2018-0959 pourrait permettre l’exécution de code arbitraire sur l’hôte depuis un OS invité.

Quant à l’avis de sécurité pour Flash Player ADV180008, il traite la vulnérabilité CVE-2018-4944 décrite dans le bulletin APSB18-16 d’Adobe pour Flash Player. De plus, Adobe vient juste de diffuser deux autres bulletins pour des vulnérabilités détectées dans Creative Cloud et Adobe Connect.

En résumé : Microsoft recommande de commencer par résoudre la vulnérabilité CVE-2018-8174 puis de se concentrer sur toutes les mises à jour de navigateur et enfin de se pencher sur Hyper-V. (Publié par Gill Langston dans The Laws of Vulnerabilities)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.