Vulnérabilités dans des produits Microsoft (Patch Tuesday Juin 2020)

Date de publication :

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 129 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 11 vulnérabilités sont considérées comme critiques, cependant aucune ne fait l’objet d’exploitation dans la nature.

Les produits suivants sont concernés :

    Microsoft Windows

    Microsoft Edge (basé sur EdgeHTML)

    Microsoft Edge (basé sur Chromium) en mode IE

    Microsoft ChakraCore

    Internet Explorer

    Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps

    Windows Defender

    Microsoft Dynamics

    Visual Studio

    Azure DevOps

    HoloLens

    Adobe Flash Player

    Applications Microsoft pour Android

    Windows App Store

    System Center

    Application Android

CVE-2020-1248 [Score CVSS v3 : 8.4] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans l’interface Windows GDI. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue.

CVE-2020-1225, CVE-2020-1226 [Score CVSS v3 : 8.8] : Plusieurs vulnérabilités de type exécution de code arbitraire à distance ont été découverte dans Microsoft Excel. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1301 [Score CVSS v3 : 7.5] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Server Message Block 1.0 (SMBv1]. Elle est due à la manière dont le serveur traite certaines requêtes. Un attaquant peut exploiter cette vulnérabilité en envoyant un paquet spécialement conçu à un serveur vulnérable.

CVE-2020-1223 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Word pour Android. Elle est due à la manière dont le programme traite certains fichiers. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier URL spécialement conçu.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code à distance

    Elévation de privilèges

    Déni de service

    Usurpation d’identité

    Contournement de la politique de sécurité

    Fuite d'informations

Criticité

    Score CVSS v3 : 8.8 au maximum

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

    La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

    La liste complète des CVE est disponible ici (filtrer sur le mois de juin 2020)

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Juin 2020

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens