Vulnérabilités dans des produits Microsoft (Patch Tuesday Avril 2020)
Date de publication :
Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 115 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 19 vulnérabilités sont considérées comme critiques et les 96 restantes comme importantes.
Les produits suivants sont concernés :
- Microsoft Windows
- Microsoft Edge (basé sur EdgeHTML)
- Microsoft Edge (basé sur Chromium)
- ChakraCore
- Internet Explorer
- Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
- Windows Defender
- Visual Studio
- Microsoft Dynamics
- Applications Microsoft pour Android
- Applications Microsoft pour Mac
Les vulnérabilités suivantes sont considérées comme critiques et seraient actuellement exploitées par des groupes d’attaquants selon Microsoft :
CVE-2020-0938, CVE-2020-1020 [Score CVSS v3 : 8.8] : Dans Windows Adobe Type Manager Library, il existe un défaut lors du traitement de polices de type Adobe Type 1 PostScript et OpenType. En amenant un utilisateur à ouvrir un fichier spécialement forgé, un attaquant peut exécuter du code arbitraire sur un système vulnérable.
CVE-2020-1027 [Score CVSS v3 : 7.8] : Une vulnérabilité de type élévation de privilèges a été découverte dans le noyau Windows. Elle est due à la façon dont le noyau traite les objets en mémoire.
CVE-2020-0968 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité de type exécution de code à distance dans le moteur de script d’Internet Explorer. Elle est due à la manière dont le moteur de script traite les objets en mémoire.
Les vulnérabilités suivantes sont considérées comme critiques mais ne sont pas actuellement exploitées :
CVE-2020-0687 [Score CVSS v3 : 8.8] : Il existe une vulnérabilité de type exécution de code à distance dans la bibliothèque de polices Windows. Elle se déclenche lors du traitement incorrect de polices. Un attaquant pourrait exploiter cette vulnérabilité en incorporant des polices spécialement conçues et ainsi provoquer une exécution de code arbitraire.
CVE-2020-0907 [Score CVSS v3 : 7.8] : Il existe une vulnérabilité de type exécution de code à distance dans Microsoft Graphics. Elle est due à la manière dont les composants de Microsoft Graphics traitent les objets en mémoire.
Les vulnérabilités liées à Microsoft SharePoint ont été traitées dans un bulletin séparé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code à distance
- Elévation de privilèges
- Déni de service
- Usurpation d’identité
- Contournement de la politique de sécurité
- Fuite d'informations
Criticité
- Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement mais plusieurs de ces vulnérabilités sont actuellement exploitées dans la nature
Composants vulnérables
- La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.
CVE
- La liste complète des CVE est disponible ici (filtrer sur le mois d’avril 2020)
Solutions ou recommandations
Mise en place de correctifs de sécurité
Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday d’Avril 2020
Solution de contournement
Aucune solution de contournement n’est disponible