63 CVE dont 21 jugés critiques, le mardi des rustines a tout de même révélé quelques belles méthodes d’exploitation. Et notamment CVE-2018-8414, qui colmate les usages déviants des fichiers « SettingContents-ms », lesquels servent à exécuter sans demande de confirmation des interfaces de configuration. Le « control panel » par exemple, mais « pas que ». Comme ledit fichier n’est rien d’autre qu’un document XML, il suffit de remplacer l’exécutable pointé par l’élément -chargé précisément d’exécuter ledit panneau de contrôle- par n’importe quel autre exécutable un peu plus musclé et mortel. La chose avait été déjà décrite mi-juin par Matt Nelson de Specter Ops. C’est là une faille qui n’est pas sans rappeler les anciens exploits à base de fichiers .pif, .bat où .com, ces derniers pouvant parfois se déguiser en URL.
Même niveau de danger pour un type de fichiers réservé, le format LNK. Il est possible d’associer un code exécutable à distance à l’un de ces fichiers de lien -en « offrant » à la victime, par exemple, le .lnk d’une ressource partagée. L’exécutable se lance automatiquement par simple visualisation du fichier -l’activation par un « double-clic » souris n’est pas nécessaire.
Enfin, au palmarès des gouffres médiatiques, on ne peut ignorer les conseils de mitigation prodigués par Microsoft à propos de la faille L1 Terminal Fault (Foreshadow), une vulnérabilité « d’exécution spéculative » héritière de Spectre et Meltdown, et qui affecte les processeurs Intel. L’usager d’une machine virtuel serait en mesure de récupérer des données dépendant d’une toute autre VM. Trois alertes CVE ont été enregistrées à ce propos CVE-2018-3615, 2018-3620 et CVE-2018-3646.
Une abondante littérature technique a été publiée à cette occasion. Notamment chez RedHat, VMWare, Ubuntu et bien entendu Intel.
Ce problème affecte les processeurs Intel intégrant l’extension Software Guard (SGX). Peuvent dormir sur leurs deux oreilles les propriétaires de machines équipées avec des CPU d’une génération antérieure à Skylake et « Goldmont Plus » (ou Gemini Lake pour les ordinateurs portables, SoC et appliances domestiques).
Comparativement,les traditionnels défauts Internet Explorer (notamment CVE-2018-8373 ) et les attaques par injection SQL ( CVE-2018-8273 ) paraissent presque fades. Elles n’en méritent pas moins une application rapide des correctifs, des exploits et PoC ayant été publiés pour certains d’entre eux.
Chez Adobe, un sempiternel trou Flash, accessoire aussi inutile que dangereux et qui vit ses dernières heures, ainsi qu’une correction du lecteur Acrobat dans ses différentes éditions