Serveur d'impression

Bogue critique du lecteur Adobe Flash et plus dans le correctif de juin mardi – Naked Security – Serveur d’impression

Le 1 juillet 2019 - 5 minutes de lecture

Le correctif de juin, mardi, contient 88 correctifs de niveau CVE, dont 21 classés critiques. Dans le même temps, Adobe corrige plusieurs vulnérabilités critiques, y compris une faille d'Adobe Flash Player considérée comme critique car elle pourrait être exploitée à distance.

Adobe a publié un correctif pour un bug de Flash Player (CVE-2019-7845), affectant versions 32.0.0.192 et antérieures, Cela permet à un attaquant d'exploiter le programme via un site Web malveillant ou un contrôle ActiveX. Un attaquant réussi pourrait exécuter son propre code à distance en tant qu'utilisateur actuel. Le bogue affecte le runtime du bureau Flash Player sous Windows, macOS et Linux, ainsi que les plug-ins Google Chrome, Microsoft Edge et IE 11 Flash Player.

Adobe a également publié mardi un correctif pour les vulnérabilités critiques de son produit de développement d’applications Web rapides ColdFusion. CVE-2019-7838 permet à un attaquant de contourner une liste noire d'extension de fichier lors du téléchargement d'un fichier, tandis que CVE-2019-7839 est une vulnérabilité d'injection de commande non spécifiée. Le troisième, CVE-2019-7840, est un bogue qui permet la désérialisation des données non fiables (la désérialisation consiste à extraire les données d'un format utilisé pour les envoyer efficacement quelque part).

Enfin, Adobe a corrigé une vulnérabilité critique de son produit Campaign destiné aux professionnels du marketing, qui pourrait permettre l'exécution de code à distance via une faille d'injection de commande. Il a corrigé cette vulnérabilité (CVE-2019-7850) ainsi que plusieurs autres défauts jugés modérés ou importants.

Microsoft Edge

L’autre bogue critique de Microsoft de ce mois-ci concernait le moteur de script sous-jacent à Microsoft Edge. Ceci est le programme qui traite les langages de script tels que JavaScript. Le moteur ne gère pas correctement les objets lorsqu’il exécute des scripts dans le navigateur Edge, ce qui signifie qu’un site Web malveillant peut provoquer l’épuisement du contenu de sa mémoire.

Ce bogue (CVE-2019-0990) est considéré comme critique sur Microsoft Windows 10, et l'exploitation est probable, a déclaré la société. Les versions du bogue affectent également ChakraCore, le projet de machine virtuelle JavaScript open source de Microsoft.

Tous les navigateurs Microsoft

Un bogue de gestion de la mémoire dans les navigateurs Microsoft pourrait permettre à des attaquants d'espionner la mémoire en persuadant l'utilisateur de voir du contenu malveillant sur un site Web. Le bogue CVE-2019-1081 est considéré comme important, mais l’exploitation est moins probable, dit Microsoft.

Base de données Jet

Microsoft a corrigé un bogue d'exécution de code à distance (RCE) dans la base de données Jet, qui sous-tend plusieurs services et produits liés à Windows. Ce bogue (CVE-2019-0904 à 0909) permet à un attaquant de compromettre un système en persuadant quelqu'un d'ouvrir un fichier spécialement conçu. Il affecte Windows 7 à 10, ainsi que Windows Server 2008 à 2019. Il obtient un classement de gravité «important» et est moins susceptible d'être exploité, a déclaré la société.

Windows GDI

L’interface graphique GDI (Windows Graphics Device Interface) est un intermédiaire entre les applications et les périphériques de sortie graphique tels que l’affichage vidéo et l’imprimante. Lorsqu'un logiciel souhaite afficher ou imprimer des graphiques, il le fait via le GDI.

Le bogue, (CVE-2019-0968, 0977, 1009-1013, 1015-1016 et 1046-1050), amène le GDI à révéler ce qui est dans sa mémoire s’il reçoit un document ou une page Web correctement conçu. Microsoft le considère comme important, mais l'exploitation est peu probable. Les produits allant de Windows 7 à 10 sont vulnérables.