16/12/2024

Actu Cybersécurité

Patch Tuesday – Juillet 2020 : 18 failles critiques corrigées

Le Patch Tuesday de juillet 2020 intègre des correctifs pour 123 vulnérabilités dont 18 classées critiques. C'est le 5e mois consécutif avec plus de 110 vulnérabilités corrigées.

Commençons par une bonne nouvelle : ces failles critiques ne sont pas exploitées, et elles seront désormais corrigées suite à l'installation des mises à jour.

Ce Patch Tuesday concerne de nombreux services et applications de chez Microsoft : Windows, Windows Defender, Skype for Business, OneDrive, Azure DevOps, .NET Framework, Visual Studio ainsi que les outils Office et les navigateurs Edge et Internet Explorer.

Une vilaine faille dans le serveur DNS de Windows

La vulnérabilité référencée CVE-2020-1350 est particulièrement dangereuse : elle touche Windows Server et plus précisément le rôle DNS. Celle-ci permettrait d'exécuter du code malveillant lorsque le serveur DNS reçoit une requête qui exploite cette vulnérabilité. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité et exécuter du code arbitraire en héritant des droits du compte système local. Microsoft se montre méfiant, et précise que cette vulnérabilité peut servir à diffuser un ver. Toutes les versions de Windows Server sont concernées.

? CVE-2020-1350

- Windows Server 2008 R2 : KB4565539
- Windows Server 2012 R2 : KB4565540
- Windows Server 2016 : KB4565511
- Windows Server 2019 : KB4558998

Une faille dans Outlook qui s'exploite par simple lecture d'un e-mail

Par ailleurs, et cette fois-ci au niveau du poste client et plus précisément dans Outlook, nous avons la vulnérabilité CVE-2020-1349. Cette vulnérabilité est corrigée, mais elle permettrait à un attaquant d'exécuter du code avec les droits de l'utilisateur connecté si celui-ci venait à seulement visualiser l'e-mail piégé. Les chercheurs de la Zero Day Initiative insistent sur le fait que la visualisation de l'e-mail est suffisante pour déclencher l'attaque.

Cette vulnérabilité affecte Outlook 2010, 2013, 2016 et 2019 ainsi que la version Microsoft 365 Apps for Enterprise.

? CVE-2020-1349

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.