Vulnérabilités dans plusieurs produits Microsoft

Date de publication : 29/09/2022

Microsoft a publié son avis de sécurité mensuel. L’éditeur a corrigé un grand nombre de vulnérabilités sur ses systèmes d’exploitation et logiciels. Seules les vulnérabilités présentant un niveau de risque élevé ou critique ont été sélectionnées dans ce bulletin.

CVE-2021-31206 [Score CVSS v3 : 8.0]

Une vulnérabilité impactant les serveurs Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire. L’action d’un utilisateur légitime est nécessaire à l’exploitation de cette faille. Microsoft signale l'existence d’un code d'exploitation pour cette vulnérabilité.

CVE-2021-31947, CVE-2021-33775, CVE-2021-33776, CVE-2021-33777, CVE-2021-33778 [Score CVSS v3 : 7.8]

Une vulnérabilité impactant les extensions de HEVC Video a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire au sein de certains fichiers vidéo. Le code malveillant peut être exécuté lorsqu’un utilisateur légitime ouvre le fichier vérolé.

CVE-2021-33749, CVE-2021-33750, CVE-2021-33752, CVE-2021-33756 [Score CVSS v3 : 8.8]

Une vulnérabilité au sein de Windows DNS Snap-in a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire sur les serveurs Windows vulnérables. L’action d’un utilisateur légitime est nécessaire à l’exploitation de cette faille.

CVE-2021-33767 [Score CVSS v3 : 6.7]

Une vulnérabilité au sein Open Enclave SDK a été corrigée. Son exploitation peut permettre à un attaquant local et authentifié d’élever ses privilèges sur les installations Windows vulnérables.

CVE-2021-33768, CVE-2021-34470 [Score CVSS v3 : 8.0]

Une vulnérabilité impactant les serveurs Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant ayant accès au réseau interne et authentifié d’élever ses privilèges sur les dispositifs vulnérables.

CVE-2021-34452 [Score CVSS v3 : 7.8]

Une vulnérabilité au sein de Microsoft Word a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire au sein d’un document Word. Si un utilisateur légitime ouvre un tel fichier malveillant sur une machine vulnérable, le code malveillant sera exécuté.

CVE-2021-34458 [Score CVSS v3 : 9.9]

Une vulnérabilité au sein de du noyau Windows a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire sur les machines vulnérables.

CVE-2021-34464, CVE-2021-34522 [Score CVSS v3 : 7.8]

Une vulnérabilité au sein de Windows Defender a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d’exécuter du code arbitraire sur les dispositifs vulnérables.

CVE-2021-34469 [Score CVSS v3 : 8.1]

Une vulnérabilité au sein de Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire au sein d’un fichier spécifiquement conçu afin de contourner l’authentification de Microsoft Office. Si un utilisateur légitime ouvre un tel fichier malveillant sur une machine vulnérable, le code malveillant sera exécuté.

CVE-2021-34501, CVE-2021-34509, CVE-2021-34518 [Score CVSS v3 : 8.8 / 5.5 / 7.8]

Une vulnérabilité au sein de Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire au sein d’un fichier spécifiquement conçu. Si un utilisateur légitime ouvre un tel fichier malveillant sur une machine vulnérable, le code malveillant sera exécuté.

CVE-2021-34521 [Score CVSS v3 : 7.8]

Une vulnérabilité au sein de de l’extension Raw Image a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire au sein d’un fichier spécifiquement conçu. Si un utilisateur légitime ouvre un tel fichier malveillant sur une machine vulnérable, le code malveillant sera exécuté.

CVE-2021-34527 [Score CVSS v3 : 8.8]

Une vulnérabilité au sein du service Windows Print Spooler a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire sur les machines vulnérables.