Microsoft publie des correctifs de sécurité de juin 2020 pour 129 vulnérabilités

Microsoft a publié aujourd’hui son lot de mises à jour de sécurité logicielles de juin 2020 qui corrige un total de 129 vulnérabilités nouvellement découvertes affectant diverses versions des systèmes d’exploitation Windows et des produits associés.

Il s’agit de la troisième mise à jour du Patch Tuesday depuis le début de l’épidémie mondiale de Covid-19, mettant une pression supplémentaire sur les équipes de sécurité qui ont du mal à suivre la gestion des correctifs tout en procédant avec prudence qui ne devrait rien casser pendant cette saison de verrouillage.

Les 129 bogues du compartiment de juin 2020 pour les administrateurs système et des milliards d’utilisateurs incluent 11 vulnérabilités critiques – toutes menant à des attaques d’exécution de code à distance – et 118 classées comme importantes en termes de gravité, conduisant principalement à une élévation de privilèges et à des attaques d’usurpation d’identité.

Selon les avis publiés aujourd’hui par Microsoft, les pirates informatiques ne semblent heureusement pas exploiter l’une des vulnérabilités zero-day dans la nature, et les détails d’aucune des failles corrigées ce mois-ci n’ont été divulgués publiquement avant cette publication.

L’une des failles notables est une vulnérabilité de divulgation d’informations (CVE-2020-1206) dans le protocole Server Message Block 3.1.1 (SMBv3) qui, selon une équipe de chercheurs, peut être exploitée en combinaison avec SMBGhost précédemment divulgué (CVE-2020 -0796) faille d’archivage des attaques d’exécution de code à distance. Vous pouvez trouver plus de détails sur cette faille ici.

Trois bogues critiques (CVE-2020-1213, CVE-2020-1216, et CVE-2020-1260) affectent le moteur VBScript et existent dans la façon dont il gère les objets en mémoire, permettant à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel.

Microsoft a répertorié ces failles comme «Exploitation plus probable», expliquant qu’il a vu des attaquants exploiter systématiquement des failles similaires dans le passé, et peut être effectuée à distance via un navigateur, une application ou un document Microsoft Office qui héberge le moteur de rendu IE.

L’un des 11 problèmes critiques exploite une vulnérabilité (CVE-2020-1299) de la manière dont Windows gère les fichiers de raccourcis (.LNK), permettant aux attaquants d’exécuter du code arbitraire sur les systèmes ciblés à distance. Comme toutes les vulnérabilités LNK précédentes, ce type d’attaque pourrait également conduire les victimes à perdre le contrôle de leurs ordinateurs ou à se faire voler leurs données sensibles.

Le composant GDI + qui permet aux programmes d’utiliser des graphiques et du texte formaté sur un écran vidéo ou une imprimante sous Windows a également été jugé vulnérable à une faille d’exécution de code à distance (CVE-2020-1248).

Selon Microsoft, la vulnérabilité GDI + RCE peut être exploitée en combinaison avec une vulnérabilité de contournement de fonction de sécurité critique distincte (CVE-2020-1229) affectant les logiciels Microsoft Outlook qui pourraient permettre aux attaquants de charger automatiquement des images malveillantes hébergées sur un serveur distant.

« Dans un scénario d’attaque par e-mail, un attaquant pourrait exploiter la vulnérabilité en envoyant l’image spécialement conçue à l’utilisateur. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait amener un système à charger des images distantes. Ces images pourraient révéler l’adresse IP du système ciblé. à l’attaquant », dit l’avis.

Outre ceux-ci, la mise à jour de juin 2020 comprend également un correctif pour une nouvelle faille critique d’exécution de code à distance (CVE-2020-9633) affectant Adobe Flash Player pour les systèmes Windows.

Il est recommandé à tous les utilisateurs d’appliquer les derniers correctifs de sécurité dès que possible pour empêcher les logiciels malveillants ou les malfaiteurs de les exploiter pour prendre le contrôle à distance des ordinateurs vulnérables.

Pour installer les dernières mises à jour de sécurité, les utilisateurs de Windows peuvent se diriger vers Démarrer> Paramètres> Mise à jour et sécurité> Windows Update, ou en sélectionnant Rechercher les mises à jour Windows.