129 vulnérabilités dont 23 critiques corrigées par le patch tuesday de septembre
Le Patch Tuesday de ce mois traite 129 vulnérabilités dont 23 sont classées critiques. Ces 23 vulnérabilités critiques concernent SharePoint, Exchange, Dynamics 365, les codecs Windows ainsi que les postes de travail. Adobe a pour sa part publié des correctifs pour Experience Manager, Framemaker et InDesign.
Poursuivant la tendance, le Patch Tuesday traite encore de nombreuses vulnérabilités susceptibles d’impacter les postes de travail. Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, la technologie COM et le module de service de texte Windows est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.
Exécutions de code à distance (RCE) dans SharePoint
Microsoft a corrigé sept vulnérabilités dans SharePoint susceptibles de déclencher une exécution de code à distance. Cinq de ces vulnérabilités (CVE-2020-1200, CVE-2020-1210, CVE-2020-1452, CVE-2020-1453et CVE-2020-1576) impliquent de télécharger une application malveillante tandis qu’une autre vulnérabilité (CVE-2020-1460) s’appuie sur du contenu créé par l’utilisateur. La dernière vulnérabilité (CVE-2020-1595) affecte la désérialisation au sein d’APIs SharePoint. C’est pourquoi il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
RCE dans Exchange
Microsoft a également corrigé une vulnérabilité par exécution de code à distance dans Exchange (CVE-2020-16875) pouvant permettre à un attaquant d’exécuter du code en tant que Système suite à l’envoi d’un courrier électronique malveillant. Microsoft estime que cette vulnérabilité est moins susceptible d’être exploitée, mais en raison d’un vecteur d’attaque ouvert, ce correctif doit être une priorité pour tous les serveurs Exchange.
Dynamics 365
En outre, Microsoft a corrigé deux RCE (CVE-2020-16857et CVE-2020-16862) dans la version sur site de Dynamics 365, la deuxième RCE semblant être une injection de code SQL. Tout déploiement de Dynamics 365 sur site doit être traité de manière prioritaire.
Adobe
Quant à Adobe, l’éditeur a publié des correctifs pour de nombreuses vulnérabilités dans Experience Manager, Framemaker et InDesign. Les correctifs pour Experience Manager sont de Priorité 2 tandis que les autres patchs sont de Priorité 3.
Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. (Par Jimmy Graham Directeur des produits Qualys)