Deux vulnérabilités critiques du correctif mardi doivent être corrigées dès que possible: CISA



Vulnérabilités du patch critique du mardi

La semaine dernière, Microsoft a publié la mise à jour du Patch Tuesday pour octobre 2020. Pour la première fois en sept mois consécutifs, il a corrigé moins de 100 vulnérabilités, 87 pour être précis. La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a pris note de la liste complète des vulnérabilités corrigées et a publié vendredi un avis aux entreprises leur demandant spécifiquement d’appliquer les correctifs requis pour les deux vulnérabilités Microsoft – RCE Windows Codecs et Visual Studio Code – dans la mise à jour Patch Tuesday de la semaine dernière.

Les deux CVE, CVE-2020-17022 et CVE-2020-17023, avait un Cote CVSS de 7,8 et ont été mis en évidence comme “important»Par Microsoft. Parlant de la gravité des vulnérabilités révélées, Rody Quinlan, Security Response Manager de Tenable, a déclaré: «La première est une vulnérabilité d’exécution de code à distance (RCE) dans la bibliothèque de codecs Microsoft Windows étant donné la façon dont elle gère les objets en mémoire, en particulier les versions antérieures à 1.0 .32762.0 ou 1.0.32763.0 des codecs vidéo HVEC (High-Efficiency Video Coding). Cependant, cette dernière est une vulnérabilité RCE dans Visual Studio Code qui peut être déclenchée par l’ouverture d’un fichier «package.json» malveillant. Cette vulnérabilité découle d’un échec du correctif pour CVE-2020-16881 publié dans le cadre des mises à jour régulières du Patch Tuesday de Microsoft en septembre. »

Nouvelles connexes:
Alerte du mardi du patch d’octobre! Microsoft corrige 87 vulnérabilités, dont 11 critiques

Quinlan a également expliqué que bien qu’il s’agisse de RCE, les deux nécessitent un certain degré d’ingénierie sociale à exploiter. Dans le cas de CVE-2020-17022, un acteur de la menace devrait convaincre une victime d’utiliser un programme pour traiter un fichier image conçu de manière malveillante. Pour CVE-2020-17023, un acteur de menace doit convaincre une victime de cloner un référentiel, avec un «package.json» malveillant et de l’ouvrir dans Visual Studio Code. Mais il y a une similitude entre les deux. Si elle est exploitée avec succès, l’une ou l’autre des vulnérabilités entraîne l’exécution de code arbitraire sur le système cible.


Enquête CISO MAG sur la sécurité des terminauxRépondez à l’enquête sur la sécurité des terminaux et gagnez de nombreux cadeaux incroyables!

Répondez au sondage maintenant !!!


Microsoft ne publie généralement pas de correctifs hors bande (OOB). Cependant, dans le cas de CVE-2020-17022, Microsoft note: «Ces mises à jour concernent des applications / composants optionnels proposés aux clients en téléchargement via le Microsoft Store», d’où l’approche de correction OOB. Pour CVE-2020-17022, Microsoft note: «Les clients concernés seront automatiquement mis à jour par le Microsoft Store.»

La CVE-2020-17023 nécessitant une mise à jour, associée à un avis hors bande, CISA et Quinlan ont encouragé les administrateurs à corriger rapidement cette vulnérabilité. Alors que Microsoft souligne qu’aucune exploitation n’a été observée dans la nature, le suivi de l’avis CISA suggère que les administrateurs devraient examiner les correctifs et appliquer les mises à jour si nécessaire.

Nouvelles connexes:
CISA publie un avis sur l’atténuation des risques provenant de Tor

Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *