Multiples vulnérabilités dans les produits Microsoft

Date de publication : 17/12/2019

Microsoft a publié un correctif de sécurité pour de multiples vulnérabilités permettant la fuite d'informations, le déni de service et l'exécution de code arbitraire à distance. Ces vulnérabilités affectent plusieurs produits, dont :

Seules les vulnérabilités qui concernent Visual Studio et qui permettent l'exécution du code arbitraire à distance ont été annoncées comme critiques.

CVE-2019-1349 [Score CVSS v3 : 7.5], CVE-2019-1350 [Score CVSS v3 : en cours de calcul], CVE-2019-1352 [Score CVSS v3 : 5.9], CVE-2019-1354 [Score CVSS v3 : 5.5] : Cette vulnérabilité consiste en une mauvaise vérification des données reçues lors du clonage d’un dépôt GIT malveillant par Visual Studio. Pour exploiter la vulnérabilité, l’attaquant doit donc d'abord convaincre l'utilisateur de cloner un dépôt GIT malveillant. Il pourrait ensuite prendre le contrôle du système affecté et effectuer des actions dans l'environnement de l'utilisateur. Les utilisateurs, dont les comptes sont configurés sans privilège particulier sur le système, pourraient être moins affectés que les utilisateurs ayant des droits d’administration.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Criticité

Score CVSS : 7.5

Existence d’un code d’exploitation de la vulnérabilité

Aucun

Composants & versions vulnérables

La liste complète des composants et versions vulnérables pour chaque CVE est disponible à l'adresse suivante : https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec

CVE

Solutions ou recommandations

Mise en place de correctif de sécurité

Appliquer les patchs de sécurité des produits concernés : https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec

Solution de contournement

Aucune

Multiples vulnérabilités dans les produits Microsoft

Informations

Solutions ou recommandations

Liens