du 09 janvier 2019
Date

Choisir une autre édition

Patch Tuesday : Microsoft déploie ses mises à jour de janvier

Comme chaque deuxième mardi de chaque mois, Microsoft a déployé hier soir ses correctifs pour l’ensemble des Windows supportés.

Les utilisateurs ayant l’October Update (1809) passent ainsi en version 17763.253. Les correctifs concernent notamment PowerShell, plus particulièrement les points d’accès distants. Dorénavant, ces derniers ne pourront plus fonctionner avec des comptes non-administrateur. D’autres corrections concernent Extensible Storage Engine, Edge, Windows App Platform, le noyau ou encore le Scripting Engine.

À l’exception de l’Extensible Storage Engine, on retrouve peu ou prou les mêmes changements dans les branches précédentes de Windows 10. L’April Update (1803) passe ainsi en mouture 17134.52, la Fall Creators Update (1709) en 16299.904, la Creators Update (1703) en 15063.1563, l’Anniversary Update (1607) en 14393.2724 et même la branche originelle passe en 10240.18094. Notez que les deux dernières ne sont accessibles que depuis le LTSC (Long-Term Servicing Channel).

Les moutures précédentes de Windows sont évidemment concernées. Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8.1, Windows Server 2012 et sa déclinaison R2 reçoivent tous une mise à jour cumulative reprenant en partie les correctifs pour Windows 10.

Il faut y ajouter des protections supplémentaires contre la vulnérabilité Speculative Store Bypass (CVE-2018-3639) sur les ordinateurs à base de processeurs AMD. Microsoft met à disposition une page spécifique pour les clients et une autre pour les serveurs. Ces protections s’utilisent en conjonction de celles déjà sorties pour Meltdown et Spectre Variant 2.

Comme toujours, ces mises à jour cumulatives sont disponibles immédiatement depuis Windows Update et contiennent tous les correctifs des mois précédents, si d’aventure ils n’avaient pas été installés.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques jours, Canonical a publié la version 2.36 de son service snapd, responsable de l’installation et des opérations courantes sur les Snaps. Principale nouveauté, la capacité d’installer plusieurs instances d’une même application.

Ces instances fonctionnent de manière concurrentielle. Elles ont chacune leur fonctionnement isolé des autres, avec leur propre configuration, leurs interfaces, services et autres.

Canonical a publié une page dédiée aux explications de cette capacité, qui nécessite l’activation d’un flag particulier.

L’éditeur cite des avantages évidents à l’installation concurrentielle. Le cas le plus courant : un développeur qui souhaiterait tester la dernière préversion de son application en parallèle de la révision stable.

Plus globalement, il est possible de faire fonctionner parallèlement plusieurs branches d’un même logiciel, que ce soit pour des tests ou des raisons de compatibilité. Par exemple, garder une ancienne version pour des cas spécifiques tout en profitant des avantages de la plus récente à côté.

Copié dans le presse-papier !

En avril, une brèche permettant d'exécuter du code à distance était identifiée et corrigée. Aujourd'hui, rebelote avec la vulnérabilité CVE-2019-12280 qui concerne le composant PC Doctor de l'application.

SafeBreach explique que SupportAssist ne vérifie pas suffisamment les DLL qu'elle charge lors de son lancement. Il est ainsi possible de la remplacer par une personnalisée (et non signée), qui sera chargée avec des privilèges de niveau « system ».

Les versions grand public 3.2.1 et antérieures sont concernées, ainsi que les 2.0 et antérieures pour celle dédiée aux professionnels.

Dell donne des explications sur la marche à suivre pour la mettre à jour et les liens pour les téléchargements par ici.

Copié dans le presse-papier !

VideoLAN a publié un bulletin de sécurité pour des failles dans VLC 3.0.6 et versions antérieures. Il est indiqué qu'un « utilisateur distant peut créer des fichiers avi ou mkv spécialement conçus qui, lorsqu'ils sont chargés par l'utilisateur cible, vont provoquer un débordement de la mémoire tampon ».

Leur exploitation nécessite qu'un utilisateur « ouvre explicitement un fichier ou un flux spécialement conçu ». Dans la première version du bulletin, il était indiqué qu' « ASLR et DEP aident à réduire les risques, mais peuvent être contournés », mention qui a disparu. 

Le bulletin affirme que VLC 3.0.7 corrige ces failles, mais ce n'est pas tout. Lors de la mise à jour, une précision a été ajoutée : « Cette version corrige également un problème de sécurité important pouvant entraîner l'exécution de code lors de la lecture d'un fichier AAC ».

Il est, comme toujours, recommandé de mettre à jour le lecteur multimédia avec la dernière version disponible, la 3.0.7 en l'occurrence. Pour rappel, celle-ci corrige pas moins de 33 failles

Copié dans le presse-papier !

Mozilla avertit à nouveau ses utilisateurs qu’une autre faille critique 0-day doit être corrigée au plus vite. Toutes les branches supportées ont été mises à jour et il est recommandé de vérifier dans l’à propos et de redémarrer le navigateur si ce n’est pas encore fait.

La deuxième faille (CVE-2019-11708) a été trouvée quand l’éditeur a été informé que des attaques étaient en cours autour de la première faille signalée la semaine dernière, notamment contre Coinbase.

Elle permet de s’échapper de la sandbox, la zone du navigateur dans lequel un code est en temps normal contraint de résider, sans impact sur le reste du système. Utilisées en conjonction, les brèches permettaient l’exécution d’un code arbitraire sur n’importe quelle configuration (Linux, macOS, Windows…) en amenant simplement l’internaute sur un site malveillant.

Les nouvelles moutures corrigées sont donc la 67.0.4 pour la branche classique et la 60.7.2 pour la branche ESR (support long). Comme la semaine dernière, Tor Browser a lui aussi reçu le correctif, dans sa nouvelle version 8.5.3.

Notez que ce bug concerne également Thunderbird, qui passe lui aussi en version 60.7.2 (il se base sur le code de la branche ESR de Firefox).

Copié dans le presse-papier !

Lancé l’année dernière, le site « NosDemarches.gouv.fr » devient « Monavis.numerique.gouv.fr ». L’observatoire officiel de la qualité des services publics numériques permet pour mémoire de suivre l'avancée et la qualité de la dématérialisation des démarches administratives.

Pour chaque procédure, « il est précisé si elle peut être réalisée complètement en ligne, et si elle respecte 5 critères de qualité clés : support usager de qualité (au moins deux moyens de contact et un accompagnement humain personnalisé), possibilité de s’identifier via FranceConnect, possibilité d’utiliser le service sur un smartphone, disponibilité/temps de réponse, et enfin l’indice de satisfaction usagers ».

Selon ce tableau de bord, 67 % des démarches administratives pouvaient être réalisées sur Internet en mai dernier (le gouvernement ambitionne d’atteindre les 100 % en 2022).

La véritable nouveauté réside dans le lancement d’un bouton « Je donne mon avis », qui permettra à chaque internaute, à la fin d’une démarche, de se prononcer sur son niveau de satisfaction. « Le déploiement commence et va s’intensifier dans les mois à venir pour couvrir les 250 démarches phares de l’État », ont indiqué les pouvoirs publics, vendredi 21 juin, à l’issue du troisième comité interministériel de transformation de l’action publique.

Le gouvernement a par ailleurs annoncé qu’un « plan d’action pour permettre une réponse téléphonique rapide et efficace » serait défini « d’ici la fin de l’année 2019 ». « La possibilité de joindre l’administration par téléphone reste une voie de recours importante pour près d’un tiers des usagers, particulièrement des personnes fragiles » fait valoir l’exécutif.