Patch Tuesday : Microsoft corrige une 0day activement exploitée, mais pas de panique

Microsoft livre son dernier Patch Tuesday de l'année. Pour 2019, c'est une ultime fournée mensuelle de correctifs de sécurité concernant Windows, Internet Explorer, Office avec aussi ses services et applications web, SQL Server, Visual Studio, de même que Skype for Business.

Les mises à jour de ce mois comprennent des correctifs pour un total de 36 vulnérabilités de sécurité, dont sept sont jugées critiques. Pour ces dernières, elles touchent très majoritairement Git pour Visual Studio, puis Hyper-V et Win32k.

C'est aussi pour Win32k - le pilote en mode noyau win32k.sys - qu'il y a une faille 0day activement exploitée ou autrement dit une vulnérabilité qui a fait l'objet d'une exploitation dans des attaques alors que le correctif n'était pas disponible. En l'occurrence, la faille n'est pas jugée critique à elle seule.

Pour cette vulnérabilité CVE-2019-1458, il est question d'une " élévation de privilèges dans Windows lorsque le composant Win32k ne traite pas correctement les objets en mémoire. " Elle a été signalée par des chercheurs en sécurité de Kaspersky Lab.

La vulnérabilité touchant Windows a été associée à une 0day qui affectait Google Chrome (corrigée à la toute fin octobre) dans le cadre d'une campagne d'attaques baptisée opération WizardOpium par le groupe russe de cybersécurité.

Selon Kaspersky Lab, les attaques avaient débuté depuis un site d'actualité coréen où les attaquants avaient injecté du code malveillant. L'exploit d'élévation de privilèges pour Windows était intégré dans l'exploit pour Google Chrome. " Il a été utilisé pour obtenir des privilèges plus élevés sur la machine infectée, ainsi que pour échapper à la sandbox du processus Chrome. "

Tous les correctifs sont donc à disposition pour se protéger.