Vulnérabilités dans des produits Microsoft (Patch Tuesday Septembre 2020)

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 129 vulnérabilités au total pouvant permettre l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 20 vulnérabilités sont considérées comme critiques par Microsoft.

Les produits suivants sont concernés :

Microsoft Windows

Microsoft Edge (basé sur EdgeHTML)

Microsoft Edge (basé sur Chromium)

Microsoft ChakraCore

Internet Explorer

SQL Server

Moteur de base de données Microsoft Jet

Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps

Microsoft Dynamics

Visual Studio

Microsoft Exchange Server

SQL Server

ASP.NET

Microsoft OneDrive

Azure DevOps

CVE-2020-0922 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft COM. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue et hébergeant du code JavaScript malveillant.

CVE-2020-1460 [Score CVSS v3 : 8.6] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft SharePoint Server. Elle est due à une identification et à un filtrage incorrect des contrôles web ASP.NET non sécurisés. Un attaquant authentifié peut exploiter cette vulnérabilité en utilisant une page spécialement conçue.

CVE-2020-1285 [Score CVSS v3 : 8.4] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans l’interface Windows GDI. Elle est due à la manière dont l’interface traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue et hébergeant du code JavaScript malveillant.

CVE-2020-1193, CVE-2020-1332, CVE-2020-1594 [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités de type exécution de code arbitraire à distance ont été découverte dans Microsoft Excel. Elles sont dues à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1218 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Word. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1508, CVE-2020-1593 [Score CVSS v3 : 7.6] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans le décodeur audio Windows Media. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue.