Microsoft a patché 2 failles d’exécutions de code à distance

Microsoft a déployé des correctifs pour deux vulnérabilités de gravité «importantes» qui, si elles sont exploitées, pourraient permettre l’exécution de code à distance.

Une faille (CVE-2020-17023) existe dans le logiciel Visual Studio Code de Microsoft, un éditeur de code source gratuit créé par pour Windows, Linux et macOS. L’autre faille (CVE-2020-17022) se trouve dans la bibliothèque de codecs Windows, le module codecs fournit des interfaces de flux et de fichiers pour le transcodage des données dans les programmes Windows.

“Microsoft a publié des mises à jour de sécurité pour corriger les vulnérabilités d’exécution de code à distance affectant la bibliothèque de codecs Windows et Visual Studio Code”, selon une alerte du CISA sur les correctifs de sécurité. «Un attaquant pourrait exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté.»

microsoft windows

Selon Microsoft, la faille de gravité «importante» (CVE-2020-17022) provient de la façon dont la bibliothèque de codecs Windows gère les objets en mémoire. Cette vulnérabilité a un score CVSS de 7,8 sur 10.

Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait exécuter du code arbitraire, selon la société américaine. Alors qu’un attaquant peut être distant pour lancer l’attaque, l’exploitation nécessite qu’un programme traite un fichier image spécialement conçu.

Seuls les clients qui ont installé les codecs multimédias HEVC en option ou «HEVC du fabricant du périphérique» du Microsoft Store peuvent être vulnérables. Les versions sécurisées de Microsoft sont 1.0.32762.0, 1.0.32763.0 et les versions ultérieures.

«La mise à jour corrige la vulnérabilité en corrigeant la façon dont la bibliothèque de codecs Windows traite les objets en mémoire», selon Microsoft.

L’autre faille de gravité «importante» (qui a également un score CVSS de 7,8 sur 10) se trouve dans Visual Studio Code, lorsqu’un utilisateur est amené à ouvrir un fichier ‘package.json’ malveillant.

microsoft

Selon Microsoft, un attaquant qui parviendrait à exploiter cette faille (CVE-2020-17023) pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Un attaquant devrait d’abord convaincre une cible de cloner un référentiel et de l’ouvrir dans Visual Studio Code (via l’ingénierie sociale ou autre). Le code malveillant de l’attaquant s’exécuterait lorsque la cible ouvrirait le fichier malveillant «package.json».

«Si l’utilisateur actuel est connecté avec des droits d’administrateur, un attaquant pourrait prendre le contrôle du système affecté», a déclaré la firme américaine. «Un attaquant pourrait alors installer des programmes; afficher, modifier ou supprimer des données; ou créez de nouveaux comptes avec tous les droits d’utilisateur. »

La mise à jour de Microsoft corrige la vulnérabilité en modifiant la façon dont Visual Studio Code traite les fichiers JSON.

Dans un fil Twitter, Justin Steven, qui a signalé la faille, a déclaré que le problème provenait d’un contournement d’un correctif précédemment déployé pour une faille d’exécution de code à distance dans Visual Studio Code (CVE-2020-16881).

Aucune des deux failles n’a été exploitée dans la nature selon les experts en sécurité de la compagnie américaine. Microsoft n’a pas non plus proposé d’atténuation ou de solutions de contournement pour d’autres failles mais les mises à jour seront automatiquement installées pour les utilisateurs.

«Les clients concernés seront automatiquement mis à jour par le Microsoft Store», selon le géant américain. “Les clients n’ont aucune action à entreprendre pour recevoir la mise à jour.”

Une mise à jour de Microsoft en dehors du Patch Tuesday habituelle

Ces correctifs interviennent quelques jours après les mises à jour Microsoft Patch Tuesday du mois d’Octobre, au cours desquelles ils ont publié des correctifs pour 87 failles de sécurité, dont 11 critiques et une qui pourrait potentiellement être exploitée par un ver informatique.

Dans le cas de ces failles de sécurité, «la maintenance des applications/composants du magasin ne suit pas la cadence mensuelle ‘Update Tuesday'(Mise à jour du mardi), mais est proposée chaque fois que nécessaire», selon Microsoft.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x