Patch Tuesday - Juin 2020

Infosec juin 18, 2020

128 vulnérabilités dont 11 critiques notamment pour Sharepoint et les postes de travail et correctifs Adobe.

Par Animesh Jain, Directrice des produits Signatures des vulnérabilités – Qualys Lab

Le Patch Tuesday de juin permet de résoudre 128 vulnérabilités dont 11 classées comme critiques. Ces 11 vulnérabilités critiques concernent SharePoint, les navigateurs, les moteurs de scripts, Windows, GDI+, OLE et les fichiers LNK. Quant à l'éditeur Adobe, il a publié ce mardi des correctifs pour Experience Manager, Flash Player et Framemaker.

Correctifs pour postes de travail

Les patches pour les navigateurs, le moteur de script et les fichiers LNK (CVE-2020-1299), pour GDI+ (CVE-2020-1248) et pour OLE (CVE-2020-1281) sont une priorité pour les équipements de type poste de travail, c'est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet via un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

SharePoint

Une vulnérabilité avec exécution de code à distance (CVE-2020-1181) est corrigée sur le serveur SharePoint. En effet, cette dernière permettait à un utilisateur authentifié sur un système invité d'exécuter des opérations de sécurité pour un processus de travail servant un pool d'applications. Microsoft signale que l'exploitation de cette vulnérabilité est moins probable, mais ces patches restent tout de même une priorité pour tous les serveurs SharePoint.

RCE « Windows »

Microsoft a également publié un correctif pour une vulnérabilité Windows (CVE-2020-1300) pouvant entraîner une vulnérabilité par exécution de code à distance (RCE). Ceci permettait à un attaquant d'inciter un utilisateur à ouvrir un package malveillant pour installer un fichier malveillant s'apparentant à un pilote d'impression. D'après les informations disponibles, il s'agit d'une priorité pour tous les serveurs et postes de travail Windows.

RCE dans Windows OLE

Une vulnérabilité par exécution de code à distance (CVE-2020-1281) est corrigée dans Windows OLE (liaison et incorporation d'objets). Un attaquant pouvait ainsi inciter un utilisateur à ouvrir un fichier ou un programme malveillant depuis sa messagerie électronique ou une page Web pour exécuter du code malveillant sur le système hôte. Toutes les installations Windows OLE doivent être corrigées en priorité.

Adobe

Adobe a publié des correctifs qui traitent de nombreuses vulnérabilités dans Experience Manager, Flash Player et Framemaker. Ce mois-ci, peu de publications de la part d'Adobe donc. L'éditeur a corrigé une vulnérabilité critique dans Adobe Flash, dont le correctif doit être déployé en priorité sur tous les systèmes de type poste de travail. Les correctifs pour Adobe Flash et Experience Manager sont de priorité 2 tandis que les patches pour Adobe Framemaker sont de priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n'est a priori activement attaquée pour l'instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

À propos du Patch Tuesday

Les ID Qualys relatifs au Patch Tuesday sont publiés sur la page dédiée aux alertes de sécurité (Security Alerts)

Mots clés

Julien HOMMET

Bercé par l'informatique depuis mon plus jeune âge, je transforme ma passion en expertise.