Vulnérabilités dans les produits Microsoft (Patch Tuesday Mars 2020)

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 117 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 25 vulnérabilités sont considérées comme critiques, 91 comme importantes et une comme modérée.

Les produits suivants sont concernés :

• Microsoft Windows
• Microsoft Edge (EdgeHTML-based)
• Microsoft Edge (Chromium-based)
• ChakraCore
• Internet Explorer
• Microsoft Exchange Server
• Microsoft Office and Microsoft Office Services and Web Apps
• Azure DevOps
• Windows Defender
• Visual Studio
• Open Source Software
• Azure
• Microsoft Dynamics

Les vulnérabilités suivantes sont annoncées comme critiques par Microsoft :

CVE-2020-0684 [Score CVSS v3 : 8.8] : Une vulnérabilité d’exécution de code arbitraire à distance a été découverte dans plusieurs versions de Microsoft Windows. Pour exploiter cette vulnérabilité, un attaquant doit inciter un utilisateur à ouvrir un fichier LNK spécialement forgé.

CVE-2020-0801, CVE-2020-0807, CVE-2020-0809 et CVE-2020-0869 [Score CVSS v3 : 7.8] : Des vulnérabilités de corruption mémoire ont été découvertes dans Microsoft Media Foundation. Elles peuvent permettre à un attaquant, via un fichier ou une page web malveillante, d’obtenir des droits pour installer des programmes, voir, changer ou supprimer des données ou créer des nouveaux comptes sur un système vulnérable.

CVE-2020-0823, CVE-2020-0825, CVE-2020-0826, CVE-2020-0827, CVE-2020-0828, CVE-2020-0829, CVE-2020-0831, CVE-2020-0832, CVE-2020-0833 et CVE-2020-0848 [Score CVSS v3 : 4.2] : Il existe des vulnérabilités d’exécution de code à distance due à la manière dont le moteur de script ChakraCore traite des objets en mémoire.

CVE-2020-0824 et CVE-2020-0847 [Score CVSS v3 : 7.5] : Des vulnérabilités d’exécution de code arbitraire dues à une corruption de la mémoire ont été découvertes dans le moteur VBScript d’Internet Explorer. Un attaquant peut exploiter ces vulnérabilités en incitant un utilisateur à visiter un site web malveillant.

CVE-2020-0881 et CVE-2020-0883 [Score CVSS v3 : 6.7] : Des vulnérabilités d’exécution de code arbitraire due à des erreurs dans le traitement des objets en mémoire ont été découvertes dans GDI+, une API pour programmeurs C et C++. Un attaquant peut exploiter ces vulnérabilités en incitant un utilisateur à visiter un site web malveillant.

CVE-2020-0796 [Score CVSS v3 : 10] : Une vulnérabilité d’exécution de code arbitraire due à des erreurs dans le traitement de requêtes a été découverte dans Microsoft SMBv3. En exploitant cette vulnérabilité à l’aide d’une requête spécialement forgée, un attaquant distant et non authentifié pourrait exécuter du code arbitraire sur un serveur ou client SMB.

Un code d'exploitation est disponible publiquement pour cette vulnérabilité.