Windows, Microsoft Edge, Chakra Core, Internet Explorer, Microsoft Office, Skype for Business et Lync. Ce mois-ci, Microsoft corrige un total de 62 vulnérabilités. Moins d'une trentaine sont annoncées critiques.
La situation n'est pas la même pour trois vulnérabilités avec un niveau de dangerosité dit important. En particulier, la faille CVE-2017-11826 est publique et un exploit est dans la nature. Elle affecte toutes les versions de Microsoft Office. Office 2007 a notamment droit à l'un de ses ultimes patchs. Son support étendu a pris fin.
Les chercheurs en sécurité de Qihoo 360 Core Security ont détecté une attaque tirant parti de cette 0day (pas de correctif à l'époque) le 28 septembre. L'attaque vise un nombre limité de cibles. Elle s'appuie sur un document .docx malveillant intégré dans des fichiers RTF. La finalité est le vol de données sensibles sur un appareil.
Pas d'exploit mais une divulgation publique pour les vulnérabilités CVE-2017-11777 et CVE-2017-8703 affectant respectivement Microsoft SharePoint Enterprise Server 2013 / 2016 et Windows Subsystem for Linux dans Windows 10.
Le mois dernier, Check Point avait dévoilé une technique d'attaque pouvant tromper des solutions de sécurité en s'appuyant sur le sous-système Linux pour Windows. Cette couche de compatibilité pour l'exécution native d'outils Linux en ligne de commande sur Windows 10 est perçue par des experts en sécurité comme un potentiel nouveau vecteur d'attaque, et une augmentation de la surface d'attaque de Windows.
