À la suite du deuxième mardi du mois, Microsoft corrige en août un total de 48 vulnérabilités de sécurité affectant Windows, Microsoft Edge, Internet Explorer, SharePoint et SQL Server. Un nombre qui prend en compte des failles pour le plugin Flash Player intégré. La fin du support de Flash a été annoncée pour 2020.
Parmi ces 48 vulnérabilités, 25 sont référencées critiques. L'une d'elles affecte le service Windows Search comme cela avait déjà été le cas le mois dernier. Pour cette vulnérabilité d'exécution de code à distance, Microsoft ne fait pas mention d'une exploitation active ou d'une divulgation publique. Un dernier point sur lequel Zero Day Initiative n'est pas d'accord.
Le problème concerne toutes les versions de Windows en cours de support et existe lorsque Windows Search traite de manière incorrecte des objets en mémoire. Une exploitation par un attaquant nécessite l'envoi d'un message spécialement conçu au service Windows Search. Dans un scénario d'entreprise, Microsoft précise qu'un attaquant distant non authentifié peut déclencher la vulnérabilité via une connexion SMB.
Selon Qualys, même si le protocole de partage de ressources sur des réseaux locaux est évoqué, c'est en tant que vecteur d'attaque et non pour une vulnérabilité l'affectant lui-même. Pas de rapport avec les cas récents et médiatisés ayant impliqué WannaCry et l'exploit EternalBlue, ou NotPetya.
En l'occurrence, il s'agit d'une faille non critique de type déni de service mais avec divulgation publique, et d'une faille critique d'élévation de privilèges avec divulgation publique. Microsoft considère néanmoins son exploitation peu probable. Pas d'alerte… pour l'heure.
On soulignera en outre qu'une fois encore, plusieurs corrections critiques sont à destination du moteur de script avec un impact pour les navigateurs et Office.
