Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
A travers son correctif de sécurité mensuel, Microsoft corrige plusieurs vulnérabilités au sein de ses produits.
CVE-2021-1640 [Score CVSS v3 : 7.8] : Une vulnérabilité dans le service Windows Print Spooler a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur un dispositif vulnérable.
CVE-2021-24089, CVE-2021-24108, CVE-2021-24110, CVE-2021-26902, CVE-2021-27047, CVE-2021-27048, CVE-2021-27049, CVE-2021-27050, CVE-2021-27051, CVE-2021-27061, CVE-2021-27062 [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités dans le gestionnaire d'extensions vidéo HEVC ont été corrigées. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26411 [Score CVSS v3 : 7.5] : Une vulnérabilité dans Internet Explorer a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de corrompre la mémoire allouée au navigateur.
CVE-2021-26855 [Score CVSS v3 : 9.8] : Une vulnérabilité dans Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26867 [Score CVSS v3 : 8.8] : Une vulnérabilité dans Windows Hyper-V a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26877, CVE-2021-26893, CVE-2021-26894, CVE-2021-26895, CVE-2021-26897 [Score CVSS v3 : 9.8] : Plusieurs vulnérabilités dans Windows DNS Server ont été corrigées. Son exploitation peut permettre à un attaquant distant et authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-26887 [Score CVSS v3 : 7.8] : Une vulnérabilité dans la redirection de fichier sous Windows a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur un dispositif vulnérable.
CVE-2021-27054 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Excel a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27056 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Powerpoint a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27057 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27058 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Microsoft Office ClickToRun a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27076 [Score CVSS v3 : 8.8] : Une vulnérabilité dans Microsoft Sharepoint Server a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
CVE-2021-27080 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Azure Sphere a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code non-signé sur un dispositif vulnérable.
CVE-2021-27082 [Score CVSS v3 : 7.8] : Une vulnérabilité dans Quantum Development Kit pour Visual Studio a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Injection de code arbitraire
- Déni de service
Criticité
- Scores CVSS v3 : 7.5 ; 7.8 ; 8.8 ; 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible à l’heure actuelle.
- Néanmoins les vulnérabilités impactant les serveurs Microsoft Exchange ont été signalées comme activement exploitées.
Composants vulnérables
- Windows Print Spooler
- HEVC Video Extensions
- Microsoft Exchange
- Microsoft Sharepoint
- Microsoft Excel
- Microsoft Powerpoint
- Microsoft Office
- Microsoft Office ClickToRun
- Azure Sphere
- Quantum Development Kit pour Visual Studio
- Windows Hyper-V
- Internet Explorer
CVE
- CVE-2021-27082
- CVE-2021-27080
- CVE-2021-27076
- CVE-2021-27075
- CVE-2021-27074
- CVE-2021-27067
- CVE-2021-27065
- CVE-2021-27063
- CVE-2021-27062
- CVE-2021-27061
- CVE-2021-27059
- CVE-2021-27058
- CVE-2021-27057
- CVE-2021-27056
- CVE-2021-27055
- CVE-2021-27054
- CVE-2021-27052
- CVE-2021-27051
- CVE-2021-27050
- CVE-2021-27049
- CVE-2021-27048
- CVE-2021-27047
- CVE-2021-26902
- CVE-2021-26897
- CVE-2021-26896
- CVE-2021-26895
- CVE-2021-26894
- CVE-2021-26893
- CVE-2021-26887
- CVE-2021-26884
- CVE-2021-26877
- CVE-2021-26869
- CVE-2021-26867
- CVE-2021-26859
- CVE-2021-26858
- CVE-2021-26857
- CVE-2021-26855
- CVE-2021-26411
- CVE-2021-24110
- CVE-2021-24108
- CVE-2021-24107
- CVE-2021-24104
- CVE-2021-24089
- CVE-2021-1640
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.