Multiples vulnérabilités dans les produits Microsoft
Date de publication :
Microsoft a publié un correctif de sécurité pour de multiples vulnérabilités permettant la fuite d'informations, le déni de service et l'exécution de code arbitraire à distance. Ces vulnérabilités affectent plusieurs produits, dont :
- Microsoft Windows
- Internet Explorer
- Microsoft Office and Microsoft Office Services and Web Apps
- SQL Server
- Visual Studio
- Skype for Business
Seules les vulnérabilités qui concernent Visual Studio et qui permettent l'exécution du code arbitraire à distance ont été annoncées comme critiques.
CVE-2019-1349 [Score CVSS v3 : 7.5], CVE-2019-1350 [Score CVSS v3 : en cours de calcul], CVE-2019-1352 [Score CVSS v3 : 5.9], CVE-2019-1354 [Score CVSS v3 : 5.5] : Cette vulnérabilité consiste en une mauvaise vérification des données reçues lors du clonage d’un dépôt GIT malveillant par Visual Studio. Pour exploiter la vulnérabilité, l’attaquant doit donc d'abord convaincre l'utilisateur de cloner un dépôt GIT malveillant. Il pourrait ensuite prendre le contrôle du système affecté et effectuer des actions dans l'environnement de l'utilisateur. Les utilisateurs, dont les comptes sont configurés sans privilège particulier sur le système, pourraient être moins affectés que les utilisateurs ayant des droits d’administration.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite d'informations
- Déni de service
- Exécution de code arbitraire à distance
Criticité
- Score CVSS : 7.5
Existence d’un code d’exploitation de la vulnérabilité
- Aucun
Composants & versions vulnérables
- Microsoft Visual Studio 2017 version 15.0
- Microsoft Visual Studio 2017 version 15.9 (includes 15.1 - 15.8)
- Microsoft Visual Studio 2019 version 16.0
- Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3)
La liste complète des composants et versions vulnérables pour chaque CVE est disponible à l'adresse suivante : https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec
CVE
- CVE-2019-1349
- CVE-2019-1350
- CVE-2019-1351
- CVE-2019-1352
- CVE-2019-1354
- CVE-2019-1355
- CVE-2019-1387
- CVE-2019-1400
- CVE-2019-1461
- CVE-2019-1462
- CVE-2019-1463
- CVE-2019-1464
- CVE-2019-1465
- CVE-2019-1466
- CVE-2019-1467
- CVE-2019-1469
- CVE-2019-1470
- CVE-2019-1472
- CVE-2019-1474
- CVE-2019-1480
- CVE-2019-1481
- CVE-2019-1486
- CVE-2019-1487
- CVE-2019-1489
Solutions ou recommandations
Mise en place de correctif de sécurité
- Appliquer les patchs de sécurité des produits concernés : https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec
Solution de contournement
- Aucune
Liens
- December 2019 Security
- CVE-2019-1349 | Git for Visual Studio Remote Code Execution Vulnerability
- CVE-2019-1350 | Git for Visual Studio Remote Code Execution Vulnerability
- CVE-2019-1351 | Git for Visual Studio Tampering Vulnerability
- CVE-2019-1352 | Git for Visual Studio Remote Code Execution Vulnerability
- CVE-2019-1354 | Git for Visual Studio Remote Code Execution Vulnerability
- CVE-2019-1387 | Git for Visual Studio Remote Code Execution Vulnerability
- CVE-2019-1400 | Microsoft Access Information Disclosure Vulnerability
- CVE-2019-1461 | Microsoft Word Denial of Service Vulnerability
- CVE-2019-1462 | Microsoft PowerPoint Remote Code Execution Vulnerability
- CVE-2019-1463 | Microsoft Access Information Disclosure Vulnerability
- CVE-2019-1464 | Microsoft Excel Information Disclosure Vulnerability
- CVE-2019-1465 | Windows GDI Information Disclosure Vulnerability
- CVE-2019-1466 | Windows GDI Information Disclosure Vulnerability
- CVE-2019-1467 | Windows GDI Information Disclosure Vulnerability
- CVE-2019-1469 | Win32k Information Disclosure Vulnerability
- CVE-2019-1470 | Windows Hyper-V Information Disclosure Vulnerability
- CVE-2019-1472 | Windows Kernel Information Disclosure Vulnerability
- CVE-2019-1474 | Windows Kernel Information Disclosure Vulnerability
- CVE-2019-1480 | Windows Media Player Information Disclosure Vulnerability
- CVE-2019-1481 | Windows Media Player Information Disclosure Vulnerability
- CVE-2019-1486 | Visual Studio Live Share Spoofing Vulnerability
- CVE-2019-1487 | Microsoft Authentication Library for Android Information Disclo…
- CVE-2019-1489 | Remote Desktop Protocol Information Disclosure Vulnerability