Vulnérabilités dans des produits Microsoft (Patch Tuesday Mai 2020)

Date de publication :

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 123 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 16 vulnérabilités sont considérées comme critiques, 95 comme importantes et les 6 restantes comme peu importantes.

Les produits suivants sont concernés :

    Microsoft Windows

    Microsoft Edge (EdgeHTML-based)

    Microsoft Edge (Chromium-based)

    ChakraCore

    Internet Explorer

    Microsoft Office, Microsoft Office Services et Web Apps

    Microsoft Sharepoint

    Windows Defender

    Visual Studio

    Microsoft Dynamics

    .NET Framework

    .NET Core

    Power BI

Les vulnérabilités suivantes sont considérées comme critiques : 

CVE-2020-1028, CVE-2020-1126, CVE-2020-1136 [Score CVSS v3 : 8.8] : Des vulnérabilités de type corruption de mémoire ont été découvertes dans WIndows Media Foundation. Un attaquant peut les exploiter de plusieurs manières, par exemple en amenant un utilisateur à ouvrir un document ou une page web spécialement conçue. 

CVE-2020-0901 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Microsoft Excel. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu et pourrait ainsi exécuter du code arbitraire. 

CVE-2020-1117 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Color Management Module (ICM32.dll). Elle est due à la manière dont le module traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à visiter une page web spécialement conçue.

CVE-2020-1023, CVE-2020-1024, CVE-2020-1069, CVE-2020-1102 [Score CVSS v3 : En cours de calcul] : Des vulnérabilités de type exécution de code arbitraire à distance ont été découvertes dans Microsoft Sharepoint. Pour la CVE-2020-1069, un attaquant peut exploiter cette vulnérabilité en téléversant un paquet spécialement conçu sur un serveur Sharepoint. Pour les 3 autres vulnérabilités, un attaquant peut les exploiter en amenant un utilisateur à ouvrir un fichier Sharepoint spécialement conçu. 

CVE-2020-1153 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire a distance été découverte dans Microsoft Graphics Components. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1062 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité de type corruption de mémoire dans Internet Explorer. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à visiter une page web spécialement conçue et pourrait ainsi exécuter du code arbitraire. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code à distance

    Elévation de privilèges

    Déni de service

    Usurpation d’identité

    Contournement de la politique de sécurité

    Fuite d'informations

Criticité

    Score CVSS v3 : 8.8 max

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement. Des explications précises sont disponibles publiquement pour la CVE-2020-0901.

Composants vulnérables

    La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

    La liste complète des CVE est disponible ici (filtrer sur le mois de mai 2020)

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Mai 2020

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens