Patch Tuesday – Avril 2020 : 113 failles de sécurité corrigées
Microsoft a publié son Patch Tuesday pour ce mois d'avril 2020, l'occasion de corriger 113 failles de sécurité, avec un niveau de criticité plus ou moins important puisqu'il y en a 17 classées critiques.
Quatre vulnérabilités sont déjà connues publiquement dont deux qui seraient déjà exploitée par des pirates, d'après The Hacker News. Elles correspondent aux CVE suivantes : CVE-2020-1020 et CVE-2020-0938. Il est donc important d'installer ce patch rapidement, pour corriger ces vulnérabilités au sein de la librairie "Adobe Type Manager" dont je vous parlais en mars. Toutes les éditions de Windows et Windows Server sont concernées à partir de Windows 7 et Windows Server 2008.
Par ailleurs, derrière la CVE-2020-0935 se cache une vulnérabilité critique relevée au sein du client OneDrive de Windows. Si elle parvient à être exploitée, elle offre une élévation de privilèges sur la machine locale.
Quant à Hyper-V, il est directement ciblé par la CVE-2020-0910 qui fait référence à une vulnérabilité critique. Si elle est exploitée au sein d'une VM, elle permet à l'attaquant de prendre le contrôle de l'hôte physique ou d'une autre VM située sur le même hôte.
Enfin, 5 vulnérabilités critiques touchent directement Microsoft Office SharePoint. D'autres produits et composants sont concernés par ce Patch Tuesday : Microsoft Edge dans sa version basée sur EdgeHTML mais aussi la version basée sur Chromium, ChakraCore, Internet Explorer, Windows Defender, Visual Studion, Microsoft Dynamics, ainsi que les applications Microsoft disponibles sur Android et Mac.
