Vulnérabilités dans des produits Microsoft (Patch Tuesday Juin 2020)

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 129 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 11 vulnérabilités sont considérées comme critiques, cependant aucune ne fait l’objet d’exploitation dans la nature.

Les produits suivants sont concernés :

  • Microsoft Windows

  • Microsoft Edge (basé sur EdgeHTML)

  • Microsoft Edge (basé sur Chromium) en mode IE

  • Microsoft ChakraCore

  • Internet Explorer

  • Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps

  • Windows Defender

  • Microsoft Dynamics

  • Visual Studio

  • Azure DevOps

  • HoloLens

  • Adobe Flash Player

  • Applications Microsoft pour Android

  • Windows App Store

  • System Center

  • Application Android

CVE-2020-1248 [Score CVSS v3 : 8.4] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans l’interface Windows GDI. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue.

CVE-2020-1225, CVE-2020-1226 [Score CVSS v3 : 8.8] : Plusieurs vulnérabilités de type exécution de code arbitraire à distance ont été découverte dans Microsoft Excel. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1301 [Score CVSS v3 : 7.5] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Server Message Block 1.0 (SMBv1]. Elle est due à la manière dont le serveur traite certaines requêtes. Un attaquant peut exploiter cette vulnérabilité en envoyant un paquet spécialement conçu à un serveur vulnérable.

CVE-2020-1223 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Word pour Android. Elle est due à la manière dont le programme traite certains fichiers. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier URL spécialement conçu.

Informations
+

Risques

  • Exécution de code à distance

  • Elévation de privilèges

  • Déni de service

  • Usurpation d’identité

  • Contournement de la politique de sécurité

  • Fuite d'informations

Criticité

  • Score CVSS v3 : 8.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • La liste complète des composants et versions vulnérables pour chaque CVE est disponible ici.

CVE

  • La liste complète des CVE est disponible ici (filtrer sur le mois de juin 2020)


Recommandations
+

Mise en place de correctifs de sécurité

  • Appliquer les correctifs de sécurité proposés par Microsoft dans son Patch Tuesday de Juin 2020

Solution de contournement

  • Aucune solution de contournement n’est disponible