Você está na página 1de 4

PREMIER MINISTRE

S.G.D.S.N Paris, le 12 octobre 2018


Agence nationale N° CERTFR-2018-ACT-016
de la sécurité des
systèmes d'information

Affaire suivie par: CERT-FR

BULLETIN D'ACTUALITÉ DU CERT-FR

Objet: Bulletin d’actualité CERTFR-2018-ACT-016

Gestion du document

Référence CERTFR-2018-ACT-016
Titre Bulletin d’actualité CERTFR-2018-ACT-016
Date de la première version 12 octobre 2018
Date de la dernière version 12 octobre 2018
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Mise à jour mensuelle de Microsoft


Le 9 octobre 2018, Microsoft a publié ses mises à jour mensuelles de sécurité. Cinquante
vulnérabilités ont été corrigées, parmi lesquelles douze sont considérées comme critiques et
trente-six comme importantes. Un problème de sécurité d’impact modérée et faible sont aussi
corrigés dans le cadre de cette publication. Les produits suivants sont affectés :

Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
ChakraCore
SQL Server Management Studio

Secrétariat général de la défense et de la sécurité nationale – ANSSI – CERT-FR


51, bd de La Tour-Maubourg Tél.: +33 1 71 75 84 68 Web: https://www.cert.ssi.gouv.fr
75700 Paris 07 SP Fax: +33 1 84 82 40 70 Mél: cert-fr.cossi@ssi.gouv.fr
Microsoft Exchange Server

Navigateurs
Pour le mois d’octobre 2018, deux vulnérabilités ont été corrigées pour le navigateur Internet
Explorer.

Les vulnérabilités CVE-2018-8460 et CVE-2018-8491 sont de type exécution de code arbitraire


à distance et sont jugées critiques. Aucune de ces vulnérabilités n’a été révélée publiquement.

Dix vulnérabilités ont été corrigées pour Microsoft Edge.

Huit sont de type exécution de code arbitraire à distance. A l’exception de la vulnérabilité CVE-
2018-8503 qui est jugée de sévérité faible et de la vulnérabilité CVE-2018-8531 qui est de
sévérité importante, toutes les autres sont considérées comme critiques. La vulnérabilité CVE-
2018-8531 a été révélée publiquement et concerne le SDK d’Azure IoT Device Client.

Deux autres vulnérabilités impactent Edge. Elles sont jugées respectivement comme ayant une
sévérité faible et importante. Ces deux vulnérabilités permettent un contournement de la
fonctionnalité de sécurité du navigateur.

Bureautique
Les différents composants de la suite Office reçoivent des correctifs pour neuf vulnérabilités
jugées importantes dont huit permettent une élévation de privilège ou une exécution de code à
distance. Aucune de ces vulnérabilités n’a été révélée publiquement.

Les vulnérabilités CVE-2018-8480, CVE-2018-8488, CVE-2018-8498 et CVE-2018-8518


concerne Microsoft SharePoint. Ces vulnérabilités sont toutes jugées importantes et concernent
une élévation de privilège.

Les trois vulnérabilités suivantes : CVE-2018-8501, CVE-2018-8502 et CVE-208-8504


concernent respectivement les produits Microsoft PowerPoint, Microsoft Excel et Microsoft
Word. De sévérité importante, elles concernent une exécution de code à distance.

Les deux dernières vulnérabilités CVE-2018-8432 et CVE-2018-8427 impactent les composants


Microsoft Graphics. Elles permettent, respectivement, une exécution de code à distance et une
divulgation d’informations.

Windows
Pour le mois d’octobre 2018, vingt-trois correctifs sont apportés à Windows.

Sept d’entre eux corrigent des vulnérabilités de type exécution de code arbitraire à distance.
Parmi celles-ci, trois sont considérées critiques. Elles concernent Microsoft Hyper-V (CVE-
2018-8489 et CVE-2018-8490) et MSXML (CVE-2018-8494). Ces produits sont vulnérables à
une exécution de code à distance.

La vulnérabilité CVE-2018-8453 de sévérité importante, concerne le composant Win32k et est


réputée comme activement exploitée. Elle permet une élévation de privilège rendant possible
une exécution de code arbitraire en mode noyau.

Le moteur de base de données Microsoft Jet est impacté par la vulnérabilité CVE-2018-8423,
révélée publiquement. Cette vulnérabilité est de type exécution de code à distance et de sévérité

Page 2 / 4
importante. Elle permettrait, entre autre, à un attaquant d’afficher, modifier, supprimer des
données et de créer des comptes ayant un haut niveau de privilège.

La vulnérabilité CVE-2018-8497 concerne le noyau Windows et est révélée publiquement.


Cette vulnérabilité, de sévérité importante, permet une élévation de privilèges. Elle rend
possible l’exécution de code avec des autorisations élevées. Le noyau Windows est également
impacté par le vulnérabilité CVE-2018-8330 de type divulgation d’informations et de sévérité
importante.

Les autres correctifs pour Windows concernent des vulnérabilités de sévérité importantes. Elles
sont réparties comme suit : sept de type divulgation d’informations, quatre de type élévation de
privilèges, trois de type exécution de code à distance et deux permettent de contourner une
fonctionnalité de sécurité.

Produits Microsoft
Le cadriciel .NET reçoit un correctif. La vulnérabilité CVE-2018-8292 permet une divulgation
d’information et est jugée importante. Elle n’a pas été révélée publiquement.

Parmi les autres produits Microsoft, douze vulnérabilités sont corrigées.

Six d’entre elles impactent le moteur d’exécution de script ChakraCore et sont de type exécution
de code arbitraire à distance. A l’exception de la vulnérabilité CVE-2018-8500, elles ont déjà
été couvertes dans la section consacrée au navigateur Edge.

Les six dernières vulnérabilités restantes permettent : une exécution de code à distance dans
MFC et le client Exchange, une élévation de privilège dans Exchange Server et trois
divulgations d’informations dans SQL Server Management Studio.

Rappel des avis émis


Dans la période du 01 au 07 octobre 2018, le CERT-FR a émis les publications suivantes :

CERTFR-2018-AVI-461 : Multiples vulnérabilités dans le noyau Linux de SUSE


CERTFR-2018-AVI-462 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
CERTFR-2018-AVI-463 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2018-AVI-464 : Multiples vulnérabilités dans Adobe Acrobat et Reader
CERTFR-2018-AVI-465 : Multiples vulnérabilités dans Google Android
CERTFR-2018-AVI-466 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2018-AVI-467 : Multiples vulnérabilités dans Mozilla Firefox
CERTFR-2018-AVI-468 : Multiples vulnérabilités dans les produits Cisco
CERTFR-2018-AVI-469 : Multiples vulnérabilités dans Mozilla Thunderbird
CERTFR-2018-AVI-470 : Multiples vulnérabilités dans le noyau Linux de SUSE
CERTFR-2018-AVI-471 : Vulnérabilité dans VMware Workspace ONE Unified Endpoint
Management Console (AirWatch Console)

Gestion détaillée du document


le 12 octobre 2018
Version initiale

Page 3 / 4
Conditions d’utilisation de ce document : https://www.cert.ssi.gouv.fr
Dernière version de ce document : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2018-ACT-016/

Page 4 / 4