Vulnérabilités dans des produits Microsoft (Patch Tuesday Mai 2020)

Date de publication :

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 123 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 16 vulnérabilités sont considérées comme critiques, 95 comme importantes et les 6 restantes comme peu importantes.

Les produits suivants sont concernés :

  • Microsoft Windows
  • Microsoft Edge (EdgeHTML-based)
  • Microsoft Edge (Chromium-based)
  • ChakraCore
  • Internet Explorer
  • Microsoft Office, Microsoft Office Services et Web Apps
  • Microsoft Sharepoint
  • Windows Defender
  • Visual Studio
  • Microsoft Dynamics
  • .NET Framework
  • .NET Core
  • Power BI

Les vulnérabilités suivantes sont considérées comme critiques : 

CVE-2020-1028, CVE-2020-1126, CVE-2020-1136 [Score CVSS v3 : 8.8] : Des vulnérabilités de type corruption de mémoire ont été découvertes dans WIndows Media Foundation. Un attaquant peut les exploiter de plusieurs manières, par exemple en amenant un utilisateur à ouvrir un document ou une page web spécialement conçue. 

CVE-2020-0901 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Microsoft Excel. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu et pourrait ainsi exécuter du code arbitraire. 

CVE-2020-1117 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire a été découverte dans Color Management Module (ICM32.dll). Elle est due à la manière dont le module traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à visiter une page web spécialement conçue.

CVE-2020-1023, CVE-2020-1024, CVE-2020-1069, CVE-2020-1102 [Score CVSS v3 : En cours de calcul] : Des vulnérabilités de type exécution de code arbitraire à distance ont été découvertes dans Microsoft Sharepoint. Pour la CVE-2020-1069, un attaquant peut exploiter cette vulnérabilité en téléversant un paquet spécialement conçu sur un serveur Sharepoint. Pour les 3 autres vulnérabilités, un attaquant peut les exploiter en amenant un utilisateur à ouvrir un fichier Sharepoint spécialement conçu. 

CVE-2020-1153 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire a distance été découverte dans Microsoft Graphics Components. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1062 [Score CVSS v3 : 7.5] : Il existe une vulnérabilité de type corruption de mémoire dans Internet Explorer. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à visiter une page web spécialement conçue et pourrait ainsi exécuter du code arbitraire. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code à distance
  • Elévation de privilèges
  • Déni de service
  • Usurpation d’identité
  • Contournement de la politique de sécurité
  • Fuite d'informations

Criticité

  • Score CVSS v3 : 8.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement. Des explications précises sont disponibles publiquement pour la CVE-2020-0901.

Composants vulnérables

  • La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

  • La liste complète des CVE est disponible ici (filtrer sur le mois de mai 2020)

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Mai 2020

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens