Patch Tuesday Ivanti - Mars 2020
Microsoft résout 115 CVE (vulnérabilités et faiblesses communes), dont 26 sont marquées Critique. On ne compte, ce mois-ci, aucune vulnérabilité à divulgation publique ou dont l’exploitation a d’ores et déjà été constatée. Les mises à jour du mois portent sur Windows, Edge (HTML et Chromium), ChakraCore, Internet Explorer, Microsoft Exchange Server, Microsoft Office, les services et applis Web Office, Azure DevOps, Windows Defender, Visual Studio, le logiciel Open Source, Azure et Microsoft Dynamics. La majorité des CVE du mois concernent l'OS Windows (79 CVE) ou les navigateurs (18 CVE).
Microsoft publie des mises à jour de pile de maintenance pour la plupart des versions de l'OS Windows. Ce mois-ci, les seules exceptions sont Windows 10 version 1703, Server 2008 et Windows 7\2008 R2.
Microsoft annonce qu'il existe une vulnérabilité dans le Gestionnaire de connexions aux services Bureau à distance (CVE-2020-0765), mais affirme qu'aucune mise à jour ne sera publiée pour corriger ce problème. Ce produit est devenu obsolète. Leur conseil : soyez prudent si vous continuez à utiliser l'outil Gestion de connexions aux services Bureau à distance. Mais Microsoft recommande de passer aux clients Bureau à distance pris en charge.
Microsoft résout ce mois-ci plusieurs vulnérabilités de divulgation d'informations portant sur l'OS Windows, dans des composants comme GDI, le composant graphique Windows Graphics, Win32k, le service de programme d'installation des modules Windows, la spécification d'interface de pilote réseau Windows, et le service Expériences des utilisateurs connectés et télémétrie. Ces vulnérabilités pourraient permettre à un pirate de lire dans le système de fichiers, la mémoire non initialisée ou même les composants mémoire dans l'espace de noyau (kernel) à partir d'un processus en mode Utilisateur. Certaines de ces vulnérabilités pourraient aussi permettre à un pirate de collecter des informations servant à prédire l'adressage mémoire.
Une vulnérabilité d'exécution de code à distance Microsoft Word (CVE-2020-0852) pourrait être exploitée via le volet Aperçu d'Outlook, ce qui en fait une cible plus intéressante pour les pirates.
Mozilla publie ce jour des mises à jour pour FireFox et FireFox ESR, qui résolvent un total de 12 CVE uniques. Toutes sont marquées Élevé dans la classification Mozilla, c'est-à-dire un niveau au-dessous de Critique, qui est le niveau le plus grave. Les pires vulnérabilités pourraient permettre l'exécution d'un code arbitraire.
Ivanti vous recommande de vous concentrer sur les mises à jour de l'OS Windows et des navigateurs, ainsi que sur Office. Ce sont les principales priorités du mois.