Multiples vulnérabilités dans les produits Microsoft

Date de publication :

Microsoft a publié un correctif de sécurité pour de multiples vulnérabilités permettant la fuite d'informations, le déni de service et l'exécution de code arbitraire à distance. Ces vulnérabilités affectent plusieurs produits, dont :

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office and Microsoft Office Services and Web Apps
  • SQL Server
  • Visual Studio
  • Skype for Business

Seules les vulnérabilités qui concernent Visual Studio et qui permettent l'exécution du code arbitraire à distance ont été annoncées comme critiques. 

CVE-2019-1349 [Score CVSS v3 : 7.5], CVE-2019-1350 [Score CVSS v3 : en cours de calcul], CVE-2019-1352 [Score CVSS v3 : 5.9], CVE-2019-1354 [Score CVSS v3 : 5.5] : Cette vulnérabilité consiste en une mauvaise vérification des données reçues lors du clonage d’un dépôt GIT malveillant par Visual Studio. Pour exploiter la vulnérabilité, l’attaquant doit donc d'abord convaincre l'utilisateur de cloner un dépôt GIT malveillant. Il pourrait ensuite prendre le contrôle du système affecté et effectuer des actions dans l'environnement de l'utilisateur. Les utilisateurs, dont les comptes sont configurés sans privilège particulier sur le système, pourraient être moins affectés que les utilisateurs ayant des droits d’administration.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Fuite d'informations
  • Déni de service
  • Exécution de code arbitraire à distance

Criticité

  • Score CVSS : 7.5

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun

Composants & versions vulnérables

  • Microsoft Visual Studio 2017 version 15.0
  • Microsoft Visual Studio 2017 version 15.9 (includes 15.1 - 15.8)
  • Microsoft Visual Studio 2019 version 16.0
  • Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3)

La liste complète des composants et versions vulnérables pour chaque CVE est disponible à l'adresse suivante : https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec 

CVE

  • CVE-2019-1349
  • CVE-2019-1350
  • CVE-2019-1351
  • CVE-2019-1352
  • CVE-2019-1354
  • CVE-2019-1355
  • CVE-2019-1387
  • CVE-2019-1400
  • CVE-2019-1461
  • CVE-2019-1462
  • CVE-2019-1463
  • CVE-2019-1464
  • CVE-2019-1465
  • CVE-2019-1466
  • CVE-2019-1467
  • CVE-2019-1469
  • CVE-2019-1470
  • CVE-2019-1472
  • CVE-2019-1474
  • CVE-2019-1480
  • CVE-2019-1481
  • CVE-2019-1486
  • CVE-2019-1487
  • CVE-2019-1489

Solutions ou recommandations

Mise en place de correctif de sécurité 

Solution de contournement

  • Aucune

Liens