S . G . D . S . N Agence nationale de la sécurité des systèmes d’information

Paris, le 18 septembre 2017 No CERTFR-2017-ACT-037

Affaire suivie par :

CERT-FR

Objet : Bulletin d’actualité
CERTFR-2017-ACT-037

Le 12 septembre 2017,
Microsoft a publié ses mises à jour mensuelles de sécurité.
Quatre-vingt-trois vulnérabilités ont été corrigées, parmi
lesquelles vingt-huit sont considérées critiques et
cinquante-trois sont considérées importantes. Les produits
suivants sont affectés :

• Internet Explorer ;
• Microsoft Edge ;
• Microsoft Windows ;
• Microsoft Office et Services Microsoft Office et Microsoft
  Office Web Apps ;
• Le cadriciel .Net ;
• Adobe Flash Player ;
• Skype pour les entreprises et Lync ;
• Microsoft Exchange Server.

Cette mise à
jour corrige sept vulnérabilités dans Internet Explorer. Cinq
d’entre elles concernent une possible exécution de code à
distance et ont toutes pour origines un problème de corruption
mémoire. Deux autres vulnérabilités sont jugées importantes par
Microsoft. Il s’agit pour la CVE-2017-8736 d’une divulgation
d’informations et pour la CVE-2017-8733 d’une vulnérabilité
d’usurpation d’identité. Vingt-neuf vulnérabilités sont corrigées
pour le navigateur Microsoft Edge. Les corrections apportées pour
Edge concernent des vulnérabilités critiques pour vingt d’entre
elles. Toutes peuvent conduire à une exécution de code.

Parmi les autres vulnérabilités corrigées dans le navigateur,
cinq correspondent à des divulgations d’informations identifiées
comme importantes. Deux risques d’usurpation d’identité, l’un
modéré et le second important se voient aussi apporter un
correctif. Enfin, deux possibilités de contournement de
fonctionnalités de sécurité pouvant mener au chargement d’une
page hébergeant du contenu malveillant sont corrigées. Il s’agit
pour la première d’une vulnérabilité importante et pour la
seconde d’un problème de sécurité modéré. Cette dernière, la
CVE-2017-8723, était connue publiquement avant la publication des
correctifs de ce mois par Microsoft.

On notera que les vulnérabilités CVE-2017-8736, CVE-2017-8741,
CVE-2017-8748 et CVE-2017-8750 corrigées pour Edge affectent
aussi le navigateur Internet Explorer.

Adobe a corrigé deux vulnérabilités pour le module Flash
Player intégré dans Internet Explorer et Edge. Jugées comme
critiques, elles peuvent conduire à une exécution de code
arbitraire à distance.

Treize
vulnérabilités sont corrigées pour Microsoft Office. Deux
induisent un risque critique d’exécution de codes et sept
vulnérabilités sont importantes.

Une vulnérabilité critique liée à une fuite d’informations, la
CVE-2017-8676, ainsi qu’une seconde de même type et jugée
importante sont également corrigées. Enfin, cette mise à jour
corrige deux vulnérabilités de type script de site à site (XSS),
impactant Microsoft SharePoint, qui sont jugées importantes.
Elles peuvent toutes deux mener à une élévation de
privilèges.

Quarante-six
vulnérabilités ont été corrigées dans les divers composants de
Windows.

Treize de ces vulnérabilités peuvent mener à une exécution de
code. Sept d’entre elles sont d’ailleurs considérées comme
critiques, quand les six autres sont jugées importantes. La
CVE-2017-9417 a été rendue publique avant la publication d’un
correctif ce mois. Celle-ci affecte un circuit Broadcom dans
HoloLens et peut mener à la compromission du système.
Vingt-quatre vulnérabilités corrigées ont pour impact une
possible divulgation d’informations. Ces vulnérabilités sont
toutes jugées comme importantes.

Les autres correctifs apportés pour le mois de septembre
concernent cinq élévations de privilèges, deux contournements de
la politique de sécurité ainsi qu’une possibilité d’usurpation
d’identité et un déni de service.

Toutes ces vulnérabilités sont considérées comme importantes
par Microsoft.

Une
vulnérabilité impactant le cadriciel .NET est corrigée avec cette
publication du mois de septembre. Jugée importante, la
CVE-2017-8759 entraîne une exécution de code arbitraire. Cette
vulnérabilité peut être exploitée grâce
à un document RTF malveillant et permet de provoquer une
injection de commande dans un parser SOAP WSDL. Cette
vulnérabilité semble par ailleurs largement exploitée dans la
nature avant la publication de ce correctif. De plus amples
informations sur cette vulnérabilité peuvent être trouvées dans
la section documentation ([2]).

Le CERT-FR
recommande l’application de ces correctifs de sécurité dès que
possible.

1. Bulletin de sécurité Microsoft
   5984735e-f651-e711-80dd-000d3a32fc99 du 12 septembre 2017

   http://ift.tt/2wnM1Iz
   

2. Article de blogue de Fireeye sur la CVE-2017-8759 du 12
   septembre 2017

   http://ift.tt/2xXJIgi
   

2 – Rappel des avis émis

Dans la période du 11 au 17 septembre 2017, le CERT-FR a émis
les publications suivantes :

• CERTFR-2017-AVI-288 : Multiples vulnérabilités dans le
  noyau Linux de Suse
• CERTFR-2017-AVI-289 : Multiples vulnérabilités dans
  Adobe Flash Player
• CERTFR-2017-AVI-290 : Multiples vulnérabilités dans
  Adobe Cold Fusion
• CERTFR-2017-AVI-291 : Multiples vulnérabilités dans le
  noyau Linux de Red Hat
• CERTFR-2017-AVI-292 : Multiples vulnérabilités dans
  Xen
• CERTFR-2017-AVI-293 : Vulnérabilité dans le noyau
  Linux de SUSE
• CERTFR-2017-AVI-294 : Multiples vulnérabilités dans
  Microsoft Office
• CERTFR-2017-AVI-295 : Multiples vulnérabilités dans
  Microsoft Windows
• CERTFR-2017-AVI-296 : Vulnérabilité dans Microsoft
  .Net
• CERTFR-2017-AVI-297 : Multiples vulnérabilités dans
  les produits Microsoft
• CERTFR-2017-AVI-298 : Multiples vulnérabilités dans
  Microsoft Edge
• CERTFR-2017-AVI-299 : Multiples vulnérabilités dans
  Microsoft IE
• CERTFR-2017-AVI-300 : Vulnérabilité dans Cisco Meeting
  Server
• CERTFR-2017-AVI-301 : Multiples vulnérabilités dans le
  noyau Linux de SUSE
• CERTFR-2017-AVI-302 : Multiples vulnérabilités dans
  Citrix XenServer
• CERTFR-2017-AVI-303 : Multiples vulnérabilités dans
  Magento
• CERTFR-2017-AVI-304 : Multiples vulnérabilités dans
  les produits VMware

18 septembre 2017

version initiale.

CERT-FR
2017-09-18