En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Analyse Patch Tuesday : Mai 2020

Par Jimmy Graham dans The Laws of Vulnerabilities

Publication: 15 mai

Partagez sur
 
111 vulnérabilités dont 16 critiques et correctifs pour SharePoint, Visual Studio Code et Adobe...
 

Les derniers Patch Tuesday publiés par Microsoft sont particulièrement volumineux, celui de mai ne fait pas exception puisqu’il corrige 111 vulnérabilités dont 16 classées comme critiques. Ces 16 vulnérabilités critiques concernent SharePoint, les navigateurs, les moteurs de scripts, la plateforme Media Foundation, le composant Microsoft Graphics, la gestion des couleurs Microsoft (Microsoft Color Management) ainsi que l’extension Python pour Visual Studio Code. Adobe a publié des correctifs pour Acrobat/Reader et le kit SDK DNG.

Correctifs pour postes de travail

Les patches pour les navigateurs, le moteur de script, Media Foundation, Microsoft Graphics et Microsoft Color Management sont une priorité pour les équipements comme le poste de travail, en particulier tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Exécution de code à distance (RCE) dans SharePoint

Comme le mois précédent, Microsoft a publié des correctifs pour quatre vulnérabilités qui affectent SharePoint via des RCE (CVE-2020-1023, CVE-2020-1024, CVE-2020-1102 et CVE-2020-1069). Trois de ces quatre RCE nécessitent de télécharger une application malveillante pour exploiter les vulnérabilités tandis que la quatrième nécessite de télécharger une page malveillante. Ces correctifs doivent être déployés en priorité sur tous les serveurs SharePoint.

RCE dans l’extension Python de Visual Studio Code

Microsoft a également publié un correctif pour résoudre une vulnérabilité RCE dans l’extension Python de VS Code (CVE-2020-1192). Pour que cette vulnérabilité soit exploitée, l’utilisateur doit ouvrir un fichier malveillant qui accorde à l’attaquant les mêmes droits qu’à l’utilisateur légitime. Toutes les installations Visual Studio Code avec cette extension doivent être corrigées en priorité.

Bibliothèque Autodesk FBX

Fin avril, Microsoft a publié des mises à jour urgentes pour Office, 3D Viewer et Paint 3D, des applications qui utilisent la bibliothèque Autodesk FBX pour rendre du contenu 3D. Les vulnérabilités hébergées dans cette bibliothèque peuvent entraîner l’exécution de code à distance si un utilisateur ouvre un fichier malveillant.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités dans Acrobat/Reader et dans le kit de développement logiciel (SDK) DNG. Les correctifs pour Acrobat/Reader sont de Priorité 2 tandis que les patches pour le SDK DNG sont de Priorité 3. Ces correctifs permettent de résoudre de nombreuses vulnérabilités critiques.

Adobe a également diffusé des correctifs exceptionnels le 28 avril pour corriger des vulnérabilités critiques dans Bridge, Illustrator et Magento. Les patchs destinés à Magento sont de Priorité 2 tandis que les autres sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori attaquée activement aujourd’hui, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

http://www.qualys.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: