securite-informatique

Patch Tuesday de mars 2020, Microsoft corrige 115 vulnérabilités dont 26 failles critiques

Le Patch Tuesday du mois de mars 2020 apporte une longue liste de correctifs de sécurité. Microsoft corrige pas moins de 115 vulnérabilités dont 26 sont jugées critiques.

Le Patch Tuesday est un rendez-vous mensuel donnant naissance à une importante maintenance. Microsoft apporte des correctifs à l’ensemble de son catalogue logiciel. Cela comprend toutes ses applications allant de la suite bureautique Office au système d’exploitation Windows 10.

Dans le cadre du Patch Tuesday de mars 2020 26 failles critiques sont colmatées. Pas moins de 17 d’entre elles affectent les navigateurs et les moteurs de script. En clair si vous utilisez un navigateur du géant, il est conseillé d’installer tout ce petite monde.

Patch Tuesday de Mars 2020, trois failles RCE

En parallèle Redmond corrige trois défauts d’exécution de code à distance ( RCE).

CVE-2020-0852 par exemple est une vulnérabilité affectant le traitement de texte Word. Son exploitation permet à un pirate d’exécuter un code malveillant. Les versions vulnérables sont Office 2016 pour Mac, Office 2019, Office Online Server et SharePoint Server 2019. Le géant explique

« Pour exploiter cette vulnérabilité, un utilisateur doit ouvrir un fichier spécialement conçu avec une version affectée du logiciel Microsoft Word. Dans un scénario d’attaque par e-mail, un attaquant peut exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en le convainquant de l’ouvrir. Dans un scénario d’attaque web, un attaquant peut héberger un site Web qui contient un fichier spécialement conçu pour exploiter cette vulnérabilité. Cependant, un attaquant n’aurait aucun moyen de forcer l’utilisateur à visiter le site Web en question. L’attaquant doit convaincre l’utilisateur de cliquer sur un lien, généralement par le moyen d’un attrait dans un e-mail ou un message instantané, puis convaincre l’utilisateur d’ouvrir le fichier spécialement conçu. »

Le deuxième souci concerne la faille RCE (Remote Code Execution) CVE-2020-0872. Elle touche l’application Inspecter v1.0.23 et permet l’exécution d’un code à distance. Enfin le troisième RCE concerne Dynamics Business Central. Catalogué par CVE-2020-0905 ce problème permet l’exécuter des commandes arbitraires sur le serveur d’une victime. Le pirate authentifié à plusieurs possibilités pour agir. Il peut par exemple convaincre la victime de se connecter à un client malveillant Dynamics Business Central.

Tous ces correctifs sont regroupés dans les dernières mises à jour cumulatives disponibles sous Windows Update ou sur Windows Update.

 

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Partager
Publié par
Jérôme Gianoli

Article récent

Windows 11, les MAJs de décembre 2024 sont à l’origine de problèmes

Le Patch Tuesday de décembre 2024 semble avoir apporté son lot de complications à certains… Lire d'avantage

24/12/2024

iCraft Arc B580 de MAXSUN : une carte graphique équipée d’une double connectiques NVMe M.2

Maxsun tente de surprendre dans le petit monde des cartes graphiques. L'iCraft Arc B580 est… Lire d'avantage

23/12/2024

ZOTAC dévoile la gamme des GeForce RTX 50 et confirme les spécifications

Le site officiel de Zotac a confirmé l’existence des GeForce RTX 50 series et leur… Lire d'avantage

23/12/2024

Les Radeon RX 9070 XT et non XT apparaissent !

La prochaine Radeon RX 8800 XT pourrait bien d’appeler la Radeon RX 9070 XT. C’est… Lire d'avantage

23/12/2024

WigiDash de G.Skill, un écran USB tactile de 7 pouces indispensable ?

G.Skill tente de se distinguer sur le marché des périphériques en lançant le WigiDash, un… Lire d'avantage

23/12/2024

Test WigiDash de G.Skill

G.Skill a étoffé son catalogue produits avec l’annonce du WigiDash. Il s’agit d’un périphérique USB… Lire d'avantage

23/12/2024