Vulnérabilités dans des produits Microsoft utilisant la bibliothèque Autodesk FBX

Date de publication :

De multiples vulnérabilités sur des produits Microsoft utilisant la bibliothèque Autodesk FBX ont été corrigées. Elles peuvent permettre à un attaquant distant d’exécuter du code arbitraire.

CVE-2020-7080 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de tampon a été découverte dans Autodesk FBX-SDK. Un attaquant pourrait, en amenant un utilisateur à ouvrir un fichier FBX malveillant, exploiter cette vulnérabilité afin d’exécuter du code arbitraire sur le système. 

CVE-2020-7081 [Score CVSS v3 : 8.8] : Une vulnérabilité de type confusion de type a été découverte dans Autodesk FBX-SDK. Un attaquant pourrait, en amenant un utilisateur à ouvrir un fichier FBX malveillant, exploiter cette vulnérabilité afin de lire ou écrire du code arbitraire sur le système.

CVE-2020-7082 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Autodesk FBX-SDK. Un attaquant pourrait, en amenant un utilisateur à ouvrir un fichier FBX malveillant, exploiter cette vulnérabilité afin d’exécuter du code arbitraire sur le système. 

CVE-2020-7085 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de tas a été découverte dans Autodesk FBX-SDK. Un attaquant pourrait, en amenant un utilisateur à ouvrir un fichier FBX malveillant, exploiter cette vulnérabilité afin d’exécuter du code arbitraire sur le système. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement pour l’instant

Composants vulnérables

  • Microsoft Office 2016 Click-to-Run (C2R) pour éditions 32 bits
  • Microsoft Office 2016 Click-to-Run (C2R) pour éditions 64 bits
  • Microsoft Office 2019 pour éditions 32 bits
  • Microsoft Office 2019 pour éditions 64 bits
  • Office 365 ProPlus pour systèmes 32 bits
  • Office 365 ProPlus pour systèmes 64 bits
  • Paint 3D

CVE

  • CVE-2020-7080
  • CVE-2020-7081
  • CVE-2020-7082
  • CVE-2020-7083
  • CVE-2020-7084
  • CVE-2020-7085

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Appliquer les correctifs fournis par Microsoft

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens