Vulnérabilités dans plusieurs composants Microsoft
Date de publication :
A l’issue de son “Patch Tuesday” Microsoft a corrigé un grand nombre de vulnérabilités, dont certaines présentant un niveau de risque élevé ou critique.
CVE-2021-1636[Score CVSS v3 : 8.8] : Une vulnérabilité dans Microsoft SQL a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’élever ses privilèges sur les serveurs SQL autorisant les sessions d'événements étendus.
CVE-2021-1643[Score CVSS v3 : 7.8] : Une vulnérabilité dans les extensions vidéo HEVC a été corrigée. Son exploitation peut permettre à un attaquant local et non-authentifié d’exécuter du code arbitraire à distance.
CVE-2021-1647 [Score CVSS v3 : 7.8] : Une vulnérabilité au sein de Microsoft Defender a été corrigée. Son exploitation peut permettre à un attaquant local et non-authentifié d’injecter du code arbitraire à distance sur les dispositifs vulnérables.
CVE-2021-1648 [Score CVSS v3 : 7.8] : Une vulnérabilité dans le processus d’impression splwow64 a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-1669 [Score CVSS v3 : 8.8] : Une vulnérabilité dans Windows Remote Desktop a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié de passer certaines mesures de sécurité non-spécifiées sur les dispositifs vulnérables.
CVE-2021-1707 [Score CVSS v3 : 8.8] : Une vulnérabilité dans Microsoft SharePoint a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Elévation de privilèges
Injection de code arbitraire
Exposition d’informations sensibles
Violation des politiques de sécurité
Criticité
Score CVSS v3 : 7.8 ; 8.8
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Microsoft Windows
Microsoft Windows Server
Microsoft Defender
Microsoft Edge (EdgeHTML-based)
Microsoft Office and Microsoft Office Services and Web Apps
Microsoft Windows Codecs Library
Microsoft SharePoint
Microsoft Remote Desktop
Visual Studio
Microsoft SQL Server
Microsoft Malware Protection Engine
.NET Core
.NET Repository
ASP .NET
Azure
HEVC Video Extensions
De plus amples détails concernant les composants impactés par ces vulnérabilités sont disponibles dans les avis de sécurité Microsoft en référence de ce bulletin.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les dispositifs Microsoft impactés par ces vulnérabilités conformément aux instructions de Microsoft en référence de ce bulletin.
Solution de contournement
Aucune solution de contournement n’est disponible à l’heure actuelle.