Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Patch Tuesday – Decembre 2019 36 vulnérabilités, dont 7 critiques, vulnérabilité Win32k attaquée de manière active et vulnérabilités Adobe

décembre 2019 par Jimmy Graham - The Laws of Vulnerabilities

Plutôt léger en cette fin d’année, le Patch Tuesday de ce mois-ci corrige 36 vulnérabilités dont 7 sont classées comme critiques. Parmi ces dernières, 5 affectent l’extension Git pour Visual Studio. Les autres concernent Hyper-V et Win32k. En outre, une vulnérabilité désignée comme « importante » est activement exploitée dans Win32k. Quant à Adobe, l’éditeur vient de publier des correctifs pour Acrobat/Reader, ColdFusion, Photoshop et Brackets.

Correctifs pour postes de travail

Le déploiement de correctifs pour Win32k (CVE-2019-1468 et CVE-2019-1458) est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants. Même si elle est classée comme importante, Microsoft a indiqué que le CVE-2019-1458 est activement attaquée en mode aveugle.

Attaques Escape contre l’hyperviseur Hyper-V

Une vulnérabilité avec exécution de code à distance (CVE-2019-1471) est corrigée dans Hyper-V sachant qu’elle permettait à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur le système hôte. Microsoft signale que l’exploitation de cette vulnérabilité est moins probable, mais ces patches restent tout de même une priorité pour tous les systèmes Hyper-V.

Git pour Visual Studio

Microsoft a corrigé 5 vulnérabilités (CVE-2019-1354, CVE-2019-1350, CVE-2019-1352, CVE-2019-1387 et CVE-2019-1349) dans l’extension Git pour Visual Studio. Pour que ces vulnérabilités soient exploitées, un utilisateur doit cloner un référentiel malveillant. En fonction des détails fournis, les vulnérabilités s’apparentent à une attaque par injection de commandes. Ces patches doivent être appliqués en priorité pour toute installation Visual Studio utilisant Git.

Adobe

Le Patch Tuesday d’Adobe concerne Acrobat/Reader, ColdFusion, Photoshop et Brackets. Les patches pour Acrobat/Reader (21 vulnérabilités) et ColdFusion (1 vulnérabilité) sont de Priorité 2 tandis que les patches pour Photoshop (2 vulnérabilités) et Brackets (1 vulnérabilité) sont de Priorité 3. Les correctifs pour Acrobat/Reader doivent être déployés en priorité sur les postes de travail où ces logiciels sont installés tandis que les patches ColdFusion doivent être appliqués de manière prioritaire sur les serveurs ColdFusion.




Voir les articles précédents

    

Voir les articles suivants