Les derniers Patch Tuesday publiés par Microsoft sont particulièrement volumineux, celui de mai ne fait pas exception puisqu’il corrige 111 vulnérabilités dont 16 classées comme critiques. Ces 16 vulnérabilités critiques concernent SharePoint, les navigateurs, les moteurs de scripts, la plateforme Media Foundation, le composant Microsoft Graphics, la gestion des couleurs Microsoft (Microsoft Color Management) ainsi que l’extension Python pour Visual Studio Code. Adobe a publié des correctifs pour Acrobat/Reader et le kit SDK DNG.
Les patches pour les navigateurs, le moteur de script, Media Foundation, Microsoft Graphics et Microsoft Color Management sont une priorité pour les équipements comme le poste de travail, en particulier tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.
Comme le mois précédent, Microsoft a publié des correctifs pour quatre vulnérabilités qui affectent SharePoint via des RCE (CVE-2020-1023, CVE-2020-1024, CVE-2020-1102 et CVE-2020-1069). Trois de ces quatre RCE nécessitent de télécharger une application malveillante pour exploiter les vulnérabilités tandis que la quatrième nécessite de télécharger une page malveillante. Ces correctifs doivent être déployés en priorité sur tous les serveurs SharePoint.
Microsoft a également publié un correctif pour résoudre une vulnérabilité RCE dans l’extension Python de VS Code (CVE-2020-1192). Pour que cette vulnérabilité soit exploitée, l’utilisateur doit ouvrir un fichier malveillant qui accorde à l’attaquant les mêmes droits qu’à l’utilisateur légitime. Toutes les installations Visual Studio Code avec cette extension doivent être corrigées en priorité.
Fin avril, Microsoft a publié des mises à jour urgentes pour Office, 3D Viewer et Paint 3D, des applications qui utilisent la bibliothèque Autodesk FBX pour rendre du contenu 3D. Les vulnérabilités hébergées dans cette bibliothèque peuvent entraîner l’exécution de code à distance si un utilisateur ouvre un fichier malveillant.
Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités dans Acrobat/Reader et dans le kit de développement logiciel (SDK) DNG. Les correctifs pour Acrobat/Reader sont de Priorité 2 tandis que les patches pour le SDK DNG sont de Priorité 3. Ces correctifs permettent de résoudre de nombreuses vulnérabilités critiques.
Adobe a également diffusé des correctifs exceptionnels le 28 avril pour corriger des vulnérabilités critiques dans Bridge, Illustrator et Magento. Les patchs destinés à Magento sont de Priorité 2 tandis que les autres sont de Priorité 3.
Même si aucune des vulnérabilités rapportées par Adobe n’est a priori attaquée activement aujourd’hui, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.