Source : Microsoft corrige 7 failles critiques en décembre | Le Monde Informatique | Dominique Filippone

Le festival des failles corrigées par Microsoft continue de plus belle en ce début décembre. La firme de Redmond a annoncé des correctifs pour 36 vulnérabilités affectant plusieurs de ses produits et services  Windows, Internet Explorer, Hyper-V Server, Defender, GitHub Library, Office et Office Services / Web Apps ainsi que SQL Server. Sur l’ensemble des failles comblées, 7 ont été classées critiques 28 importantes et 1 modérée.

Bien que présentant un niveau de risque « seulement » important, mieux vaut appliquer dès que possible le patch de la vulnérabilité CVE-2019-1458 permettant une élévation de privilèges Win32k. Signalée à l’origine par Kaspersky Labs, c’est la seule faille de ce mois répertoriée comme étant activement exploitée. Parmi les failles critiques identifiées ce mois-ci, on retiendra en particulier les CVE-2019-1471 et CVE-2019-1468. La première touche Hyper-V et autorise un utilisateur sur un OS invité à exécuter du code arbitraire sur l’OS hôte sous-jacent, tandis que la seconde affectant Win32k Graphics pourrait permettre à un attaquant d’exécuter du code sur un système affecté en visualisant une police de caractère piégée.

De l’élévation de privilèges dans le service d’imprimante Windows

En plus de celui exploité, quatre autres correctifs pour élévation de privilèges ont été publiés en décembre : « le plus intéressant d’entre eux est celui impliquant le service d’imprimante Windows. Un attaquant local pourrait exécuter un programme conçu pour que le service valide incorrectement les chemins d’accès aux fichiers lors du chargement des pilotes d’imprimante, élevant ainsi un utilisateur régulier à un utilisateur privilégié », ont indiqué les chercheurs de la Zero Day Initiative.