Vulnérabilités dans Microsoft

Date de publication :

À l’occasion du Tuesday Patch, Microsoft apporte un grand nombre de correctifs de sécurité à plusieurs vulnérabilités dont  certaines ayant un niveau de risque critique.

CVE-2020-16970[Score CVSS v3 : 8.8] : Une vulnérabilité a récemment été découverte sur la plateforme d’application générale sécurisée Azure Sphere. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire.

CVE-2020-16992[Score CVSS v3 : 8.2] : Une vulnérabilité a récemment été découverte sur la plateforme d’application générale sécurisée Azure Sphere. Cette faille peut permettre à un attaquant local et non-authentifié d'élever ses privilèges au sein de la plateforme Sphere.

CVE-2020-17019 ,CVE-2020-17064 ,CVE-2020-17065 , CVE-2020-17066 , CVE-2020-17067  [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités ont récemment été découvertes dans Microsoft Excel. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance.

CVE-2020-17105CVE-2020-17078CVE-2020-17079, CVE-2020-17082, CVE-2020-17086 [Score CVSS v3 : 9.8] :  Plusieurs vulnérabilités ont récemment été découvertes dans certains modules de prise en charge des formats d’image sur Windows. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance à partir  des extensions d’image RAW et AV1.

CVE-2020-17106, CVE-2020-17107, CVE-2020-17108, CVE-2020-17109, CVE-2020-17110, [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités ont récemment été découvertes dans certains modules de prise en charge des formats d’image sur Windows. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance à partir  des extensions d’image HEVC.

CVE-2020-17101 [Score CVSS v3 : 7.8] : Une vulnérabilité a récemment été découverte dans certains modules de prise en charge des formats d’image sur Windows. Cette faille peut permettre à un attaquant local et non-authentifié d'exécuter du code arbitraire à distance à partir  des extensions d’image HEIF.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Elévation de privilèges 

Criticité

  • Score CVSS v3 : 7.8 ; 7.8 ; 8.2 ; 8.8 ; 9.8

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est connu à ce jour pour les vulnérabilités mentionnées.

Composants vulnérables

  • Azure Sphere (<v20.07)
  • Azure Sphere (<v 20.09)
  • Microsoft Excel
  • “HEVCImageExtension” (<v1.0.32762.0)
  • “HIEFImageExtension” (<v1.0.32532.0)
  • “RawImageExtension” (<v1.0.32861.0)
  • “AV1VideoExtension” (<v1.1.32442.0)

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mise à jour des logiciels suivants :

  • Azure Sphere (<v20.07)

  • Azure Sphere (<version 20.09)

  • Microsoft Excel : Application du correctif de sécurité KB4486718, KB4486743,  ou KB4486734 (Selon la version de Microsoft Office utilisée).

  • “HEVCImageExtension” (<v1.0.32762.0)

  • “HIEFImageExtension” (<v1.0.32532.0)

  • “RawImageExtension” (<v1.0.32861.0)

  • “AV1VideoExtension” (<v1.1.32442.0)

Solution de contournement

  • Aucune solution de contournement n’est disponible à ce jour.

Liens