Le deuxième mardi du mois vient de passer avec sa livraison de patchs pour des produits de Microsoft. Un total de 81 vulnérabilités affectant Windows, Microsoft Edge, Internet Explorer, Office, Skype for Business, Exchange Server ou encore .NET Framework. Sans oublier deux failles pour le plugin Flash Player intégré.
Cette dernière (CVE-2017-8759) a été découverte par FireEye et n'est pas jugée critique. D'après FireEye, elle est utilisée pour distribuer un spyware FINSPY, autrement identifié comme FinFisher ou WingBird.
C'est la deuxième fois cette année que FireEye découvre l'utilisation d'une faille pour diffuser ce type de spyware vendu par Gamma Group et servant à du cyberespionnage. L'exploit est intégré à un document Microsoft Word. Une fois ouvert, c'est une vulnérabilité dans .NET Framework qui est exploitée. Les cibles sont russophones.
Microsoft explique que l'exploit utilise Microsoft Word comme vecteur d'attaque initial pour atteindre le " composant réellement vulnérable " qui n'est pas lié à Microsoft Office. Il est évoqué des fonctionnalités de rendu SOPA via la bibliothèque de classes .NET.
Pour Qualys, c'est davantage de vulnérabilités critiques de type exécution de code à distance affectant les navigateurs de Microsoft dont il faut se méfier avant tout. Certaines concernent le moteur de script avec aussi un impact pour Microsoft Office.
