Patch Tuesday de juillet - Patch Tuesday Novembre 2018

Patch Tuesday : 128 vulnérabilités dont 11 critiques corrigés en juin

Posted On 10 Juin 2020

By : Damien Bancal

Comment: 0

Tag: failles, juin 2020, Patch Tuesday

Le mois de juin aura connu son GROS lot de corrections de vulnérabilité pour les produits Microsoft et Adobe. 128 vulnérabilités dont 11 critiques notamment pour SharePoint et les postes de travail dans la ligne de mire.

Le Patch Tuesday de juin permet de résoudre 128 vulnérabilités dont 11 classées comme critiques. Ces 11 vulnérabilités critiques concernent SharePoint, les navigateurs, les moteurs de scripts, Windows, GDI+, OLE et les fichiers LNK. Quant à l’éditeur Adobe, il a publié ce mardi des correctifs pour Experience Manager, Flash Player et Framemaker.

Correctifs pour postes de travail

Les patches pour les navigateurs, le moteur de script et les fichiers LNK (CVE-2020-1299), pour GDI+ (CVE-2020-1248) et pour OLE (CVE-2020-1281) sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet via un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

SharePoint

Une vulnérabilité avec exécution de code à distance (CVE-2020-1181) est corrigée sur le serveur SharePoint. En effet, cette dernière permettait à un utilisateur authentifié sur un système invité d’exécuter des opérations de sécurité pour un processus de travail servant un pool d’applications. Microsoft signale que l’exploitation de cette vulnérabilité est moins probable, mais ces patches restent tout de même une priorité pour tous les serveurs SharePoint.

RCE « Windows »

Microsoft a également publié un correctif pour une vulnérabilité Windows (CVE-2020-1300) pouvant entraîner une vulnérabilité par exécution de code à distance (RCE). Ceci permettait à un attaquant d’inciter un utilisateur à ouvrir un package malveillant pour installer un fichier malveillant s’apparentant à un pilote d’impression. D’après les informations disponibles, il s’agit d’une priorité pour tous les serveurs et postes de travail Windows.

RCE dans Windows OLE

Une vulnérabilité par exécution de code à distance (CVE-2020-1281) est corrigée dans Windows OLE (liaison et incorporation d’objets). Un attaquant pouvait ainsi inciter un utilisateur à ouvrir un fichier ou un programme malveillant depuis sa messagerie électronique ou une page Web pour exécuter du code malveillant sur le système hôte. Toutes les installations Windows OLE doivent être corrigées en priorité.

A noter le retour, sur le devant de la scène, de la faille SMBGhost. Le CVE 2020-1206, patché lui aussi ce 9 juin.

Adobe

Adobe a publié des correctifs qui traitent de nombreuses vulnérabilités dans Experience Manager, Flash Player et Framemaker. Ce mois-ci, peu de publications de la part d’Adobe donc. L’éditeur a corrigé une vulnérabilité critique dans Adobe Flash, dont le correctif doit être déployé en priorité sur tous les systèmes de type poste de travail. Les correctifs pour Adobe Flash et Experience Manager sont de priorité 2 tandis que les patches pour Adobe Framemaker sont de priorité 3.

« Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés. » confirme Animesh Jain, Directrice des produits Signatures des vulnérabilités – Qualys Lab.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.