Site icon Data Security Breach

Patch Tuesday juin : 88 vulnérabilités, 21 critiques

Patch Tuesday snake

Le Patch Tuesday de Microsoft traite 88 vulnérabilités dont 21 classées comme critiques. Parmi ces dernières, 17 affectent les moteurs de scripts et les navigateurs tandis que 3 sont des attaques Escape potentielles contre l’hyperviseur Hyper-V.

Patch Tuesday – La dernière vulnérabilité est une exécution de code à distance (RCE) au sein de l’API de reconnaissance vocale Microsoft Speech. Microsoft a également publié des recommandations pour les clés FIDO Bluetooth basse consommation ainsi que pour HoloLens et Microsoft Exchange. Concernant Adobe, l’éditeur vient de publier des correctifs pour Flash, ColdFusion et Campaign.

Correctifs pour postes de travail

Le déploiement de patches pour les moteurs de script et les navigateurs est une priorité pour les équipements de type poste de travail, c’est-à-dire tous les systèmes permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multiutilisateurs qui font office de postes de travail distants.

Attaque Escape contre l’hyperviseur Hyper-V

Trois vulnérabilités avec exécution de code à distance (CVE-2019-0620, CVE-2019-0709 et CVE-2019-0722) sont corrigées dans Hyper-V. Elles permettaient à un utilisateur authentifié sur un système invité d’exécuter du code arbitraire sur l’hôte. Microsoft signale que l’exploitation de ces vulnérabilités est moins probable. Les patches restent tout de même une priorité pour les systèmes Hyper-V.

Exécution de code RCE dans l’API de reconnaissance vocale Microsoft Speech

L’API Microsoft Speech abrite une vulnérabilité par exécution de code à distance (CVE-2019-0985). Affectant Windows 7 et Server 2008 R2, elle a besoin qu’un utilisateur ouvre un document malveillant.

Avis de sécurité

Microsoft a également publié plusieurs avis de sécurité  :

Patch Tuesday version Adobe

Adobe a publié des mises à jour pour Flash, ColdFusion et Campaign. La mise à jour pour Flash permet de résoudre une vulnérabilité et exposition courante (CVE) et doit être déployée en priorité sur les postes de travail sur lesquels Flash est installé. Les mises à jour pour ColdFusion corrigent trois vulnérabilités de types différents, toutes étant classées comme critiques. Quiconque utilise un serveur ColdFusion devrait le tester et déployer le correctif dès que possible. Quant au patch pour Adobe Campaign, il corrige sept vulnérabilités différentes dont une considérée comme critique. (Par Jimmy Graham dans The Laws of Vulnerabilities)

Quitter la version mobile