Vulnérabilités dans des produits Microsoft (Patch Tuesday Septembre 2020)

Microsoft a publié plusieurs correctifs de sécurité (Patch Tuesday) afin de corriger 129 vulnérabilités au total pouvant permettre l’exécution de code à distance, la fuite d’informations, l’élévation de privilèges, le déni de service, l’usurpation d’identité et le contournement de dispositifs de sécurité. 20 vulnérabilités sont considérées comme critiques par Microsoft.

Les produits suivants sont concernés :

• Microsoft Windows
• Microsoft Edge (basé sur EdgeHTML)
• Microsoft Edge (basé sur Chromium)
• Microsoft ChakraCore
• Internet Explorer
• SQL Server
• Moteur de base de données Microsoft Jet
• Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps
• Microsoft Dynamics
• Visual Studio
• Microsoft Exchange Server
• SQL Server
• ASP.NET
• Microsoft OneDrive
• Azure DevOps

CVE-2020-0922 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft COM. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue et hébergeant du code JavaScript malveillant.

CVE-2020-1460 [Score CVSS v3 : 8.6] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft SharePoint Server. Elle est due à une identification et à un filtrage incorrect des contrôles web ASP.NET non sécurisés. Un attaquant authentifié peut exploiter cette vulnérabilité en utilisant une page spécialement conçue.

CVE-2020-1285 [Score CVSS v3 : 8.4] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans l’interface Windows GDI. Elle est due à la manière dont l’interface traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue et hébergeant du code JavaScript malveillant.

CVE-2020-1193, CVE-2020-1332, CVE-2020-1594 [Score CVSS v3 : 7.8] : Plusieurs vulnérabilités de type exécution de code arbitraire à distance ont été découverte dans Microsoft Excel. Elles sont dues à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1218 [Score CVSS v3 : 7.8] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans Microsoft Word. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu.

CVE-2020-1508, CVE-2020-1593 [Score CVSS v3 : 7.6] : Une vulnérabilité de type exécution de code arbitraire à distance a été découverte dans le décodeur audio Windows Media. Elle est due à la manière dont le programme traite les objets en mémoire. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à ouvrir un fichier spécialement conçu ou en lui faisant visiter une page web spécialement conçue.