À l'occasion de son Patch Tuesday mensuel, Microsoft a corrigé une soixantaine de vulnérabilités de sécurité dans ses produits (SANS Internet Storm Center). Il a aussi été question des vulnérabilités d'exécution spéculative L1 Teminal Fault (L1TF) ou Foreshadow touchant des processeurs Intel. Un avis de sécurité dédié a été publié.
Parmi la soixantaine de failles corrigées, une vingtaine d'entre elles sont considérées critiques. Elles concernent les navigateurs de Microsoft, Windows et la bibliothèque PDF, Exchange ou encore SQL Server.
Deux vulnérabilités ont été divulguées publiquement et avec des exploitations repérées. La première est critique et affecte Internet Explorer, en rappelant que même Windows 10 a toujours IE présent. La deuxième n'est pas jugée critique et affecte Windows Shell.
Sans être 0day ni critique, Microsoft a par ailleurs corrigé une vulnérabilité dans Cortana pour Windows 10. Découverte par un chercheur en sécurité de l'équipe Advanced Threat Research de McAfee, elle peut notamment permettre à un attaquant de forcer Microsoft Edge à consulter une URL malveillante sur l'écran de verrouillage via des commandes pour Cortana.
" La vulnérabilité ne permet pas à un attaquant de déverrouiller l'appareil, mais elle permet à une personne ayant un accès physique de forcer Edge à naviguer sur une page du choix de l'attaquant pendant que l'appareil est encore verrouillé ", écrit McAfee.
Ce n'est en tout cas pas la première fois que Cortana (et les assistants personnels en général) suscite des craintes en matière de sécurité informatique. La désactivation de Cortana lorsqu'un appareil est verrouillé est possible dans les paramètres.
