Bogue critique du lecteur Adobe Flash et plus dans le correctif de juin mardi – Naked Security – Serveur d’impression
Le correctif de juin, mardi, contient 88 correctifs de niveau CVE, dont 21 classés critiques. Dans le même temps, Adobe corrige plusieurs vulnérabilités critiques, y compris une faille d'Adobe Flash Player considérée comme critique car elle pourrait être exploitée à distance.
Adobe a publié un correctif pour un bug de Flash Player (CVE-2019-7845), affectant versions 32.0.0.192 et antérieures, Cela permet à un attaquant d'exploiter le programme via un site Web malveillant ou un contrôle ActiveX. Un attaquant réussi pourrait exécuter son propre code à distance en tant qu'utilisateur actuel. Le bogue affecte le runtime du bureau Flash Player sous Windows, macOS et Linux, ainsi que les plug-ins Google Chrome, Microsoft Edge et IE 11 Flash Player.
Adobe a également publié mardi un correctif pour les vulnérabilités critiques de son produit de développement d’applications Web rapides ColdFusion. CVE-2019-7838 permet à un attaquant de contourner une liste noire d'extension de fichier lors du téléchargement d'un fichier, tandis que CVE-2019-7839 est une vulnérabilité d'injection de commande non spécifiée. Le troisième, CVE-2019-7840, est un bogue qui permet la désérialisation des données non fiables (la désérialisation consiste à extraire les données d'un format utilisé pour les envoyer efficacement quelque part).
Enfin, Adobe a corrigé une vulnérabilité critique de son produit Campaign destiné aux professionnels du marketing, qui pourrait permettre l'exécution de code à distance via une faille d'injection de commande. Il a corrigé cette vulnérabilité (CVE-2019-7850) ainsi que plusieurs autres défauts jugés modérés ou importants.
Sommaire
Microsoft Edge
L’autre bogue critique de Microsoft de ce mois-ci concernait le moteur de script sous-jacent à Microsoft Edge. Ceci est le programme qui traite les langages de script tels que JavaScript. Le moteur ne gère pas correctement les objets lorsqu’il exécute des scripts dans le navigateur Edge, ce qui signifie qu’un site Web malveillant peut provoquer l’épuisement du contenu de sa mémoire.
Ce bogue (CVE-2019-0990) est considéré comme critique sur Microsoft Windows 10, et l'exploitation est probable, a déclaré la société. Les versions du bogue affectent également ChakraCore, le projet de machine virtuelle JavaScript open source de Microsoft.
Tous les navigateurs Microsoft
Un bogue de gestion de la mémoire dans les navigateurs Microsoft pourrait permettre à des attaquants d'espionner la mémoire en persuadant l'utilisateur de voir du contenu malveillant sur un site Web. Le bogue CVE-2019-1081 est considéré comme important, mais l’exploitation est moins probable, dit Microsoft.
Base de données Jet
Microsoft a corrigé un bogue d'exécution de code à distance (RCE) dans la base de données Jet, qui sous-tend plusieurs services et produits liés à Windows. Ce bogue (CVE-2019-0904 à 0909) permet à un attaquant de compromettre un système en persuadant quelqu'un d'ouvrir un fichier spécialement conçu. Il affecte Windows 7 à 10, ainsi que Windows Server 2008 à 2019. Il obtient un classement de gravité «important» et est moins susceptible d'être exploité, a déclaré la société.
Windows GDI
L’interface graphique GDI (Windows Graphics Device Interface) est un intermédiaire entre les applications et les périphériques de sortie graphique tels que l’affichage vidéo et l’imprimante. Lorsqu'un logiciel souhaite afficher ou imprimer des graphiques, il le fait via le GDI.
Le bogue, (CVE-2019-0968, 0977, 1009-1013, 1015-1016 et 1046-1050), amène le GDI à révéler ce qui est dans sa mémoire s’il reçoit un document ou une page Web correctement conçu. Microsoft le considère comme important, mais l'exploitation est peu probable. Les produits allant de Windows 7 à 10 sont vulnérables.
Sharepoint
Le serveur de collaboration SharePoint de Microsoft ne parvient parfois pas à assainir les requêtes Web. Cela peut donner lieu à des attaques par scripts XSS (cross-side scripting), a averti Microsoft, permettant ainsi à un attaquant d'exécuter ses propres scripts en tant qu'utilisateur actuel. Ils pouvaient lire et supprimer du contenu non autorisé, modifier les autorisations et injecter du contenu malveillant dans le navigateur de l'utilisateur.
Ce bogue a un indice de gravité «important», mais l’exploitation est moins probable, d’après les notes techniques. Ses versions (de CVE-2019-1031 à 1033 et 1036), affectent diverses versions liées à SharePoint et Microsoft Project Server 2010.
Mot
Cette vulnérabilité liée à la gestion de la mémoire dans Word (CVE-2019-1034 à 1036) permet aux attaquants d’exécuter du code arbitraire en persuadant les utilisateurs d’ouvrir un fichier ou un site Web spécialement conçu. Bien qu’il s’agisse d’un bogue RCE, Microsoft ne lui attribue toujours qu’une note «importante» et indique que l’exploitation est moins probable.
Noyau Windows
Un bogue de mémoire dans le noyau Windows permet à un attaquant disposant du code correct de surveiller la mémoire dans un processus en mode utilisateur exécuté dans l'espace du noyau. Cela pourrait fournir des informations susceptibles de compromettre davantage le système, prévient Microsoft, mais une exploitation est moins probable. Le bogue, CVE-2019-1039, obtient la cote «important».
Observateur d'événements Windows
Microsoft a corrigé un bogue dans l'observateur d'événements Windows, qui est l'utilitaire Windows affichant les journaux des messages de l'application et du système. La visionneuse comprend une fonction qui lit les fichiers XML. Un attaquant ayant envoyé un fichier XML spécialement conçu pourrait lire des fichiers arbitraires sur l'hôte. Celui-ci obtient un indice de gravité «modéré».
Commentaires
Laisser un commentaire