Vulnérabilité dans Microsoft Teams
Date de publication :
Cette CVE n'à pas de numéro pour le moment. En attendant, c'est exceptionnellement l'identité Zero Day Initiative qui est utilisé. (ZDI-21-772 et ZDI-CAN-13612)
CVE-xxxx-xxxxx (ZDI-21-772 et ZDI-CAN-13612) [Score CVSS v3 : 7,2 ]
Une vulnérabilité a été corrigée au sein de Microsoft Teams. Son exploitation peut permettre à un attaquant distant d'exécuter du code arbitraire sur les installations affectées de Microsoft Teams Desktop. Un attaquant doit d'abord obtenir la possibilité d'exécuter du code JavaScript arbitraire dans un iframe de la fenêtre de l'application afin d'exploiter cette vulnérabilité. La faille spécifique réside dans la protection du cadre supérieur ElectronJS. En exécutant des actions en JavaScript, un attaquant peut utiliser la barre menu horizontal dans Microsoft Teams afin d'accéder à une page malveillante, obtenant ainsi l'accès aux objets internes de l'application. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus actuel.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.2
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Microsoft Teams versions antérieures à 1.4.00.11161.
CVE
- N/A
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Microsoft Teams vers la version 1.4.00.11161 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.