Vulnérabilités dans des produits Microsoft (Patch Tuesday Juillet 2020)

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 123 vulnérabilités au total permettant l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 

Les produits suivants sont concernés :

• Microsoft Windows
• Microsoft Edge (basé sur EdgeHTML)
• Microsoft Edge (basé sur Chromium) en mode IE
• Microsoft ChakraCore
• Internet Explorer
• Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
• Windows Defender
• Skype Entreprise
• Visual Studio
• Microsoft OneDrive
• Logiciels open source
• .NET Framework
• Azure DevOps

CVE-2020-1350 [Score CVSS v3 : 10] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans DNS Windows. Elle est due à la manière dont le programme traite des requêtes. Un attaquant peut exploiter cette vulnérabilité en utilisant une requête spécialement conçue.

CVE-2020-1408 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans la bibliothèque de polices Windows. Elle est due à la manière dont la bibliothèque traite des polices intégrées. Un attaquant peut les exploiter de plusieurs manières, par exemple en amenant un utilisateur à ouvrir un document ou une page web spécialement conçue. 

CVE-2020-1032, CVE-2020-1036, CVE-2020-1040, CVE-2020-1041, CVE-2020-1042, CVE-2020-1043 [Score CVSS v3 : 8.0] : Des vulnérabilités de type exécution de code arbitraire à distance ont été découvertes dans Hyper-V RemoteFX vGPU. Elles sont due à un traitement incorrect des entrées d’un utilisateur authentifié sur un système d’exploitation invité. Un attaquant peut exploiter ces vulnérabilités en exécutant une application spécialement conçue sur un système d’exploitation invité pour viser certains pilotes vidéo tiers exécutés sur l’hôte Hyper-V.

CVE-2020-1400, CVE-2020-1401, CVE-2020-1407 [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités de type exécution de code arbitraire à distance ont été découvertes dans Windows Het Database Engine. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1446, CVE-2020-1447, CVE-2020-1448 [Score CVSS v3 : En cours de calcul] : Plusieurs vulnérabilités de type exécution de code arbitraire à distance ont été découverte dans Microsoft Word. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1349 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Outlook. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1421 [Score CVSS v3 : 7.5] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Windows. Elle est due à la manière dont le système traite les fichiers LNK. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier LNK spécialement conçu.