Microsoft résout ce mois-ci un total de 77 CVE uniques, dont deux « zero day » qui ont été signalées dans des attaques réelles et six divulgations publiques. Pour les lecteurs de Solutions Numériques, Chris Goettl, Director, Product Management Security chez Ivanti, détalle le Patch Tuesday de Microsoft.
Microsoft a publié une mise à jour pour tout et n’importe quoi ce mois-ci ! OK, peut-être pas n’importe quoi, mais il y a des mises à jour pour l’OS Windows, Office, .Net, SQL, VSTS et même un conseiller (Advisory) pour Microsoft Exchange Server. On trouve également des mises à jour pour les outils binaires de développement suivants : Azure IoT Edge, Azure Kubernetes Service, Azure Automation, Azure DevOps Server, ASP .Net Core, .Net Core et Chakra Core. Cela fait beaucoup.
La première vulnérabilité exploitée (CVE-2019-0880) est une vulnérabilité de type Élévation des privilèges qui existe dans splwow64 et affecte les systèmes d’exploitation Windows 8.1, Server 2012 et plus récents. Un pirate qui exploiterait cette vulnérabilité pourrait élever son niveau de privilèges de « Faible » à « Intégrité moyenne ». Une fois qu’il dispose d’un niveau de privilège plus élevé, le pirate peut exploiter une autre vulnérabilité lui permettant d’exécuter du code.
La deuxième vulnérabilité exploitée (CVE-2019-1132) est également de type Élévation des privilèges. Celle-là se trouve dans Win32k et affecte Windows 7, Server 2008 et Server 2008 R2. Bien qu’un pirate doive obtenir un accès de connexion au système pour exploiter cette vulnérabilité, elle lui permet, s’il y parvient, de prendre le plein contrôle du système.
Mozilla a publié des mises à jour pour Firefox et Firefox ESR afin de résoudre 21 vulnérabilités dans l’un et 10 dans l’autre. Ces deux produits sont marqués « Critique » et comprennent des vulnérabilités susceptibles de permettre la divulgation d’informations, la fuite de dossiers temporaires (sandbox) et l’exécution de code à distance.
Oracle publie mardi sa mise à jour critique (Critical Patch Update), alors attendez-vous à recevoir des mises à jour pour tous vos middlewares favoris et pour Java.
Les outils de développement
C’est le bon moment pour parler des outils de développement. Alors que le secteur poursuit sa transition vers DevOps et l’intégration avec des outils de développement binaires comme Java, vous devez tenir compte de nouveaux éléments pour la gestion des vulnérabilités dans votre environnement. La situation a changé avec Java 11. On ne parle plus de JRE ni de JDK. Avec les applications Java 8, le développeur construisait l’application à l’aide de JDK puis, une fois l’application déployée sur un système, elle utilisait Java JRE pour s’exécuter. Chaque trimestre, quand Oracle publiait sa mise à jour, l’application ne changeait pas. En revanche, il fallait mettre à jour l’instance JRE pour supprimer les vulnérabilités. Avec Java 11, les composants JRE sont totalement intégrés à l’application. Ainsi, lorsqu’Oracle publie des mises à jour Java 11 pour résoudre des vulnérabilités de sécurité, le développeur doit mettre à jour sa version de JDK et reconstruire l’application afin d’inclure les nouveaux composants JRE si les anciens étaient vulnérables.
Microsoft publie ce mois-ci des mises à jour pour plusieurs outils de développement, notamment .Net Core et ASP .Net Core, pour lesquels il faut, de la même façon, mettre à jour le composant SDK, puis reconstruire et redistribuer l’application pour résoudre les vulnérabilités. Autres exemples d’outils binaires de développement : Apache Struts, ChakraCore, ASP.NET CORE, ou encore Open Enclave SDK.
