Vulnérabilités dans plusieurs produits Microsoft
Date de publication :
Microsoft a publié son avis de sécurité mensuel. L’éditeur a corrigé un grand nombre de vulnérabilités sur ses systèmes d’exploitation et logiciels. Seules les vulnérabilités présentant un niveau de risque élevé ou critique ont été sélectionnées dans ce bulletin.
CVE-2021-26419 [Score CVSS v3 : 7.5]
Une vulnérabilité de corruption de la mémoire a été corrigée au sein du moteur de script de Internet Explorer 11. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité. L’interaction d’un utilisateur non averti est toutefois nécessaire.
CVE-2021-28455 [Score CVSS v3 : 8.8]
Une vulnérabilité a été corrigée dans le moteur de base de données JetRed de Microsoft. Son exploitation peut permettre à un attaquant distant et authentifié d'exécuter du code arbitraire sur un dispositif vulnérable.
CVE-2021-28465 [Score CVSS v3 : 7.8]
Une vulnérabilité impactant les extensions Web Media a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'exécuter du code arbitraire sur un dispositif vulnérable. L’interaction d’un utilisateur non averti est toutefois nécessaire.
CVE-2021-28474 [Score CVSS v3 : 8.8]
Une vulnérabilité dans Microsoft Sharepoint a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié d'exécuter du code arbitraire sur un dispositif vulnérable.
CVE-2021-31166 [Score CVSS v3 : 9.8]
Une vulnérabilité dans le pile protocolaire HTTP a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire sur un dispositif vulnérable.
CVE-2021-31175, CVE-2021-31176, CVE-2021-31177, CVE-2021-31179 [Score CVSS v3 : 7.8]
Une vulnérabilité impactant Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'exécuter du code arbitraire sur un dispositif vulnérable. L’interaction d’un utilisateur non averti est toutefois nécessaire.
CVE-2021-31180 [Score CVSS v3 : 7.8]
Une vulnérabilité impactant les composants graphiques de Microsoft Office a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'exécuter du code arbitraire sur un dispositif vulnérable. L’interaction d’un utilisateur non averti est toutefois nécessaire.
CVE-2021-31186 [Score CVSS v3 : 6.5]
Une vulnérabilité impactant le protocol RDP de Windows a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié d'accéder à des informations sensibles sur un dispositif vulnérable. L’interaction d’un utilisateur non averti est toutefois nécessaire.
CVE-2021-31211, CVE-2021-31214 [Score CVSS v3 : 7.8]
Une vulnérabilité sur Visual Studio Code a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'exécuter du code arbitraire sur un dispositif vulnérable. L’interaction d’un utilisateur non averti est toutefois nécessaire.
CVE-2021-31213 [Score CVSS v3 : 7.8]
Une vulnérabilité sur l’extension de conteneurs de Visual Studio Code a été corrigée. Son exploitation peut permettre à un attaquant local et non authentifié d'exécuter du code arbitraire sur un dispositif vulnérable. L’interaction d’un utilisateur non averti est toutefois nécessaire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Exposition d’informations sensibles
Criticité
- Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Un exploit (POC) existe pour la CVE-2021-26419.
Composants vulnérables
- Internet Explorer 11
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core installation)
- Windows Server 2012
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows RT 8.1
- Windows 8.1 for x64-based systems
- Windows 8.1 for 32-bit systems
- Windows 7 for x64-based Systems Service Pack 1
- Windows 7 for 32-bit Systems Service Pack 1
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows 10 Version 1607 for x64-based Systems
- Windows 10 Version 1607 for 32-bit Systems
- Windows 10 for x64-based Systems
- Windows 10 for 32-bit Systems
- Windows Server, version 20H2 (Server Core Installation)
- Windows 10 Version 20H2 for ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows Server, version 2004 (Server Core installation)
- Windows 10 Version 2004 for x64-based Systems
- Windows 10 Version 2004 for ARM64-based Systems
- Windows 10 Version 2004 for 32-bit Systems
- Windows Server, version 1909 (Server Core installation)
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
- Windows 10 Version 1803 for ARM64-based Systems
- Windows 10 Version 1803 for x64-based Systems
- Windows 10 Version 1803 for 32-bit Systems
- Microsoft Office 2013 Service Pack 1 (64-bit editions)
- Microsoft Office 2013 Service Pack 1 (32-bit editions)
- Microsoft Office 2013 RT Service Pack 1
- Microsoft Office 2016 (64-bit edition)
- Microsoft Office 2016 (32-bit edition)
- Microsoft Office 2019 for 64-bit editions
- Microsoft Office 2019 for 32-bit editions
- Microsoft 365 Apps for Enterprise for 64-bit Systems
- Microsoft 365 Apps for Enterprise for 32-bit Systems
- Microsoft Web Media Extensions
- Microsoft SharePoint Foundation 2013 Service Pack 1
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016
- Microsoft Excel 2013 Service Pack 1 (64-bit editions)
- Microsoft Excel 2013 Service Pack 1 (32-bit editions)
- Microsoft Excel 2013 RT Service Pack 1
- Microsoft Excel 2016 (64-bit edition)
- Microsoft Excel 2016 (32-bit edition)
- Microsoft Office Online Server
- Visual Studio Code
- Visual Studio Code Remote - Containers Extension
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels et systèmes d’exploitation impactées conformément aux instructions de Microsoft.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.