Vulnérabilités dans Microsoft
Date de publication :
À l’occasion du Tuesday Patch, Microsoft apporte un grand nombre de correctifs de sécurité à plusieurs vulnérabilités dont certaines ayant un niveau de risque critique.
CVE-2020-16970[Score CVSS v3 : 8.8] : Une vulnérabilité a récemment été découverte sur la plateforme d’application générale sécurisée Azure Sphere. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire.
CVE-2020-16992[Score CVSS v3 : 8.2] : Une vulnérabilité a récemment été découverte sur la plateforme d’application générale sécurisée Azure Sphere. Cette faille peut permettre à un attaquant local et non-authentifié d'élever ses privilèges au sein de la plateforme Sphere.
CVE-2020-17019 ,CVE-2020-17064 ,CVE-2020-17065 , CVE-2020-17066 , CVE-2020-17067 [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités ont récemment été découvertes dans Microsoft Excel. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance.
CVE-2020-17105, CVE-2020-17078, CVE-2020-17079, CVE-2020-17082, CVE-2020-17086 [Score CVSS v3 : 9.8] : Plusieurs vulnérabilités ont récemment été découvertes dans certains modules de prise en charge des formats d’image sur Windows. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance à partir des extensions d’image RAW et AV1.
CVE-2020-17106, CVE-2020-17107, CVE-2020-17108, CVE-2020-17109, CVE-2020-17110, [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités ont récemment été découvertes dans certains modules de prise en charge des formats d’image sur Windows. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance à partir des extensions d’image HEVC.
CVE-2020-17101 [Score CVSS v3 : 7.8] : Une vulnérabilité a récemment été découverte dans certains modules de prise en charge des formats d’image sur Windows. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance à partir des extensions d’image HEIF.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Elévation de privilèges
Criticité
- Score CVSS v3 : 7.8 ; 7.8 ; 8.2 ; 8.8 ; 9.8
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est connu à ce jour pour les vulnérabilités mentionnées.
Composants vulnérables
- Azure Sphere (<v20.07)
- Azure Sphere (<v 20.09)
- Microsoft Excel
- “HEVCImageExtension” (<v1.0.32762.0)
- “HIEFImageExtension” (<v1.0.32532.0)
- “RawImageExtension” (<v1.0.32861.0)
- “AV1VideoExtension” (<v1.1.32442.0)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mise à jour des logiciels suivants :
Azure Sphere (<v20.07)
Azure Sphere (<version 20.09)
Microsoft Excel : Application du correctif de sécurité KB4486718, KB4486743, ou KB4486734 (Selon la version de Microsoft Office utilisée).
“HEVCImageExtension” (<v1.0.32762.0)
“HIEFImageExtension” (<v1.0.32532.0)
“RawImageExtension” (<v1.0.32861.0)
“AV1VideoExtension” (<v1.1.32442.0)
Solution de contournement
Aucune solution de contournement n’est disponible à ce jour.