Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
A travers son correctif de sécurité mensuel, Microsoft corrige plusieurs vulnérabilités au sein de ses produits.
CVE-2021-1640 [Score CVSS v3 : 7.8] : Une vulnérabilité dans le service Windows Print Spooler a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur un dispositif vulnérable.
CVE-2021-24089, CVE-2021-24108, CVE-2021-24110, CVE-2021-26902, CVE-2021-27047, CVE-2021-27048, CVE-2021-27049, CVE-2021-27050, CVE-2021-27051, CVE-2021-27061, CVE-2021-27062 [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités dans le gestionnaire d'extensions vidéo HEVC ont été corrigées. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26411 [Score CVSS v3 : 7.5] : Une vulnérabilité dans Internet Explorer a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de corrompre la mémoire allouée au navigateur.
CVE-2021-26855 [Score CVSS v3 : 9.8] : Une vulnérabilité dans Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26867 [Score CVSS v3 : 8.8] : Une vulnérabilité dans Windows Hyper-V a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26877, CVE-2021-26893, CVE-2021-26894, CVE-2021-26895, CVE-2021-26897 [Score CVSS v3 : 9.8] : Plusieurs vulnérabilités dans Windows DNS Server ont été corrigées. Son exploitation peut permettre à un attaquant distant et authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26887 [Score CVSS v3 : 7.8] : Une vulnérabilité dans la redirection de fichier sous Windows a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur un dispositif vulnérable.
CVE-2021-27054 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Excel a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27056 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Powerpoint a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27057 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27058 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Office ClickToRun a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27076 [Score CVSS v3 : 8.8] : Une vulnérabilité dans Microsoft Sharepoint Server a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27080 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Azure Sphere a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code non-signé sur un dispositif vulnérable.
CVE-2021-27082 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Quantum Development Kit pour Visual Studio a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Elévation de privilèges
Injection de code arbitraire
Déni de service
Criticité
-
Scores CVSS v3 : 7.5 ; 7.8 ; 8.8 ; 9.8
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible à l’heure actuelle.
Néanmoins les vulnérabilités impactant les serveurs Microsoft Exchange ont été signalées comme activement exploitées.
Composants vulnérables
-
Windows Print Spooler
HEVC Video Extensions
Microsoft Exchange
Microsoft Sharepoint
Microsoft Excel
Microsoft Powerpoint
Microsoft Office
Microsoft Office ClickToRun
Azure Sphere
Quantum Development Kit pour Visual Studio
Windows Hyper-V
Internet Explorer
CVE
- CVE-2021-27082
CVE-2021-27080
CVE-2021-27076
CVE-2021-27075
CVE-2021-27074
CVE-2021-27067
CVE-2021-27065
CVE-2021-27063
CVE-2021-27062
CVE-2021-27061
CVE-2021-27059
CVE-2021-27058
CVE-2021-27057
CVE-2021-27056
CVE-2021-27055
CVE-2021-27054
CVE-2021-27052
CVE-2021-27051
CVE-2021-27050
CVE-2021-27049
CVE-2021-27048
CVE-2021-27047
CVE-2021-26902
CVE-2021-26897
CVE-2021-26896
CVE-2021-26895
CVE-2021-26894
CVE-2021-26893
CVE-2021-26887
CVE-2021-26884
CVE-2021-26877
CVE-2021-26869
CVE-2021-26867
CVE-2021-26859
CVE-2021-26858
CVE-2021-26857
CVE-2021-26855
CVE-2021-26411
CVE-2021-24110
CVE-2021-24108
CVE-2021-24107
CVE-2021-24104
CVE-2021-24089
CVE-2021-1640
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.