En octobre, Microsoft corrige 49 failles dont 12 critiques.
Parmi les logiciels Microsoft à corriger ce mois-ci, les navigateurs web doivent être pris en compte en priorité. D'autres failles critiques portent sur Hyper-V et MSXML. Une vulnérabilité (CVE-2018-8453) qualifiée d'importante serait exploitée, selon Kaspersky Lab. Elle porte sur le composant Win32k.
Livrée le 09 Octobre 2018, la mise à jour mensuelle de sécurité de Microsoft vient corriger 49 vulnérabilités dont 35 sont jugées importantes et 12 critiques. Sur ces dernières, la moitié concerne des failles sur les navigateurs, les autres portent sur Hyper-V et l’analyseur syntaxique MSXML. Dans son habituel billet de commentaires sur la livraison périodique, le spécialiste en sécurité Qualys conseille aux administrateurs Windows de donner la priorité aux correctifs portant sur les navigateurs et moteurs de scripting sur tous les postes qui les utilisent pour accéder aux emails et à Internet. Cela recouvre au total 23 CVE.
Parmi les failles importantes, la vulnérabilité CVE-2018-8453 est actuellement exploitée, selon Kaspersky Lab. Elle concerne une élévation de privilèges sur le composant Win32k et son exploitation est probablement limitée pour l’instant, estime le site Zerodayinitiative qui n’en avait pas encore eu vent. Sur l’hyperviseur, deux correctifs concernent des vulnérabilités (CVE-2018-8489 et CVE-2018-8490) qui permettent à un utilisateur authentifié d’exécuter du code arbitraire sur le système hôte. Cette mise à jour doit aussi être privilégiée sur les systèmes Hyper-V, conseille Microsoft même s’il précise que l’exploitation de cette faille est peu probable.
Une faille importante dans Exchange Server;
Une faille découverte dans Exchange (CVE-2010-3190) pourrait permettre d’exécuter du code à distance pour prendre le contrôle du système affecté. Elle concerne toutes les installations d’Exchange Server. Du côté des patches liés aux logiciels d’Adobe, quatre viennent s’ajouter à ceux que l’éditeur de Flash a déjà commencé à livrer depuis le 1er octobre (dans le cadre d’une mise à jour de sécurité mensuelle portant sur 86 failles au total dont 47 critiques). L’un vient rectifier divers bugs dans Flash. Les autres portent sur Framemaker, Digital Editions et Technical Communications Suite pour des failles jugées critiques ou importantes.