Microsoft publie des patchs très urgents pour Office et Paint 3D

Spread the love
Microsoft publie des patchs très urgents pour Office et Paint 3D Microsoft a publié d’importantes mises à jour de sécurité pour les produits Office, Office 365 ProPlus et Paint 3D afin de remédier aux multiples bugs récemment révélés dans la bibliothèque d’Autodesk pour le format de fichier FBX (animations 3D).

Les mises à jour concernent les produits Microsoft qui intègrent la bibliothèque Autodesk FBX 3D, ce qui comprend Microsoft Office 2016 Click-to-Run (C2R) pour les éditions 32 bits et 64 bits, Microsoft Office 2019 pour les éditions 32 bits et 64 bits, et Office 365 ProPlus pour les systèmes 32 bits et 64 bits, ainsi que Paint 3D.

Bien que les correctifs soient seulement considérés comme “importants”, les vulnérabilités de la bibliothèque Autodesk FBX permettent l’exécution à distance du code sur les produits concernés. Pour exploiter les bugs, l’attaquant enverrait à ses victimes un fichier FBX 3D malveillant et les inciterait à l’ouvrir.

publicité

Maya, Motion Builder, Mudbox également affectés

L’attaquant obtiendrait alors les mêmes droits d’utilisation que l’utilisateur local. Microsoft note que les comptes ayant moins de droits sur le système pourraient être moins affectés que ceux ayant des droits d’administration.

Autodesk, le fabricant du logiciel AutoCAD, a publié un avis mercredi dernier mentionnant que les applications et les services qui utilisent la version 2020.0 ou antérieure du SDK FBX sont affectés par des vulnérabilités diverses.

Les vulnérabilités sont répertoriées sous les numéros CVE-2020-7080, CVE-2020-7081, CVE-2020-7082, CVE-2020-7083, CVE-2020-7084 et CVE-2020-7085. Max Van Amerongen, un chercheur de F-Secure, a signalé à Autodesk le CVE-2020-7085. Il a posté une démonstration vidéo de son exploit sur Twitter.

Les bugs affectent plusieurs autres produits Autodesk, notamment AutoCAD, Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Infraworks et Navisworks. Autodesk a également remercié l’équipe du Security Response Center Vulnerabilities and Mitigations Team de Microsoft pour son partenariat.

Source : “ZDNet.com”

Leave a Reply