Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
Microsoft a publié son avis de sécurité mensuel. L’éditeur a corrigé un grand nombre de vulnérabilités sur ses systèmes d’exploitation et logiciels. Seules les vulnérabilités présentant un niveau de risque élevé ou critique ont été sélectionnées dans ce bulletin.
CVE-2021-31939 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Microsoft Excel a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
CVE-2021-31940, CVE-2021-31941 [Score CVSS v3 : 7.8]
Plusieurs vulnérabilités au sein de Microsoft Office Graphics ont été corrigées. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
CVE-2021-31942, CVE-2021-31943 [Score CVSS v3 : 7.8]
Plusieurs vulnérabilités au sein de 3D Viewer ont été corrigées. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
CVE-2021-31945, CVE-2021-31946, CVE-2021-31983 [Score CVSS v3 : 6.6]
Plusieurs vulnérabilités au sein de Paint 3D ont été corrigées. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
CVE-2021-31956 [Score CVSS v3 : 7.8]
Une vulnérabilité au sein de Windows NTFS a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur le dispositif vulnérable.
CVE-2021-31958 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein de Windows NTLM a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’élever ses privilèges sur le dispositif vulnérable. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
CVE-2021-31962 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de Microsoft Kerberos AppContainer a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de contourner les mesures de sécurité de l’utilitaire de manière non spécifiée.
CVE-2021-31967 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein des extensions de VP9 Video a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein d’un document lisible par le logiciel. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
CVE-2021-31975, CVE-2021-31976 [Score CVSS v3 : 7.5]
Plusieurs vulnérabilités au sein de Microsoft Network File System (NFS) ont été corrigées. Leur exploitation peut permettre à un attaquant distant et non authentifié d’exposer des informations sensibles.
CVE-2021-31977 [Score CVSS v3 : 8.6]
Une vulnérabilité au sein de Windows Hyper-V a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de provoquer un déni de service sur les dispositifs vulnérables.
CVE-2021-31980 [Score CVSS v3 : 9.8]
Une vulnérabilité au sein de l’extension de gestion de Microsoft Intune a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.
CVE-2021-31985 [Score CVSS v3 : 8.8]
Une vulnérabilité au sein de Microsoft Defender a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.
CVE-2021-33739 [Score CVSS v3 : 7.8] : Une vulnérabilité au sein de la librairie Microsoft DWM Core a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-33741 [Score CVSS v3 : 7.5] : Une vulnérabilité au sein de Microsoft Edge a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’élever ses privilèges sur les dispositifs vulnérables.
CVE-2021-33742 [Score CVSS v3 : 8.8] : Une vulnérabilité au sein de la plateforme Microsoft MSHTML a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire sur un appareil vulnérable. L’action d’un utilisateur non averti est nécessaire à l’exploitation de cette vulnérabilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
- Elévation de privilèges
- Exposition d’informations sensibles
- Violation des politiques de sécurité
Criticité
- Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Pour la CVE-2021-33742, un exploit (POC) existe.
- Pour la CVE-2021-33739, un exploit (POC) existe.
- Pour la CVE-2021-31985, un exploit (POC) existe.
- Pour la CVE-2021-31962, un exploit (POC) existe.
- Pour la CVE-2021-31956, un exploit (POC) existe.
Composants vulnérables
- Microsoft Edge (Chromium-based)
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows RT 8.1
- Windows 8.1 for x64-based systems
- Windows 8.1 for 32-bit systems
- Windows 7 for x64-based Systems Service Pack 1
- Windows 7 for 32-bit Systems Service Pack 1
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 for 32-bit Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 for ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows Server, version 2004 (Server Core installation)
- Windows 10 Version 2004 for x64-based Systems
- Windows 10 Version 2004 for ARM64-based Systems
- Windows 10 Version 2004 for 32-bit Systems
- Windows Server, version 1909 (Server Core installation)
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1803 for ARM64-based Systems
- Windows 10 Version 1803 for x64-based Systems
- Windows 10 Version 1803 for 32-bit Systems
- Microsoft Office 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2013 Service Pack 1 (32-bit editions)
- Microsoft Office 2013 RT Service Pack 1
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office 2019 for 64-bit editions
- Microsoft Office 2019 for 32-bit editions
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft Web Media Extensions
- Microsoft SharePoint Foundation 2013 Service Pack 1
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016
- Microsoft Excel 2013 Service Pack 1 (64-bit editions)
- Microsoft Excel 2013 Service Pack 1 (32-bit editions)
- Microsoft Excel 2013 RT Service Pack 1
- Microsoft Excel 2016 (64-bit edition)
- Microsoft Excel 2016 (32-bit edition)
- Microsoft Office Online Server
- 3D Viewer
- Paint 3D
- VP9 Video Extensions
- Intune management extension
- Microsoft Defender (Microsoft Malware Protection Engine)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les dispositifs vulnérables conformément aux instructions de l’éditeur Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
Liens
- Microsoft - June 2021 Security Updates
- NVD CVE-2021-31942
- NVD CVE-2021-31943
- NVD CVE-2021-31939
- NVD CVE-2021-31940
- NVD CVE-2021-31941
- NVD CVE-2021-31945
- NVD CVE-2021-31946
- NVD CVE-2021-31983
- NVD CVE-2021-31956
- NVD CVE-2021-31958
- NVD CVE-2021-31962
- NVD CVE-2021-31967
- NVD CVE-2021-31975
- NVD CVE-2021-31976
- NVD CVE-2021-31977
- NVD CVE-2021-31980
- NVD CVE-2021-31985
- NVD CVE-2021-33739
- NVD CVE-2021-33741
- NVD CVE-2021-33742