Pour ne pas changer ses habitudes, c’est ce deuxième mardi d’avril que Microsoft a publié sa vague de correctifs pour ses solutions et systèmes. Ce mois-ci, ce sont 74 patchs qui sont proposés pour combler des vulnérabilités dans Internet Explorer, Edge, Windows, ChakraCore, Microsoft Office et Web Apps, .NET et ASP.NET, Exchange Server, Visual Studio, Skype for Business, Azure DevOps Server, Open Enclave SDK ainsi que Team Foundation Server. Sur l’ensemble de ces CVE, 13 sont classées critiques et 61 importantes.

Parmi les failles méritant une attention particulière, on retrouve les CVE-2019-0803 et CVE-2019-0859 débouchant sur une élévation de privilèges système via une corruption de pilote Win32k. « Microsoft signale ces deux vulnérabilités comme étant activement exploitées. Les correctifs doivent être hiérarchisés pour les postes de travail et les serveurs », indique dans un blog Jimmy Graham, chercheur en sécurité chez Qualys. La CVE-2019-0853 corrige quant à elle un problème de sécurité dans Windows GDI+ qui se produit lors de l’analyse des enregistrements de fichiers EMF.

Un bug de la pile TCP/IP Windows aussi corrigé

Deux autres sont aussi à considérer, à savoir la CVE-2019-0688 corrigeant un bug de la pile TCP/IP Windows qui pourrait permettre la divulgation d’informations en raison d’une gestion incorrecte par Windows des paquets IP fragmentés. Enfin on n’oubliera pas non plus de signaler la CVE-2019-0856 affectant toutes les versions de Windows pouvant déboucher sur de l’exécution de code distant en exploitant un bug dans la façon dont l’OS de Microsoft gère la mémoire.