Patch Tuesday : Microsoft corrige trois failles exploitées par des attaquants
Le patch tuesday de Microsoft pour le mois d’avril corrige au total 113 vulnérabilités dont 19 critiques dans les différents produits Microsoft. Comme chaque mois, l’éditeur a diffusé ses patchs visant à corriger les vulnérabilités de sécurité au sein de ces produits. La société attire l’attention des administrateurs sur trois vulnérabilités en particulier : celles ci sont des failles 0day ayant été divulguées publiquement avant la publication du correctif et certaines sont activement exploitées par des attaquants dans le cadre d’attaques constatées par Microsoft.
Les failles 0day divulguées publiquement sont les suivantes :
- CVE-2020-0935 Vulnérabilité d’élévation de privilège dans OneDrive pour Windows
- CVE-2020-1020 Vulnérabilité d’exécution de code à distance dans Adobe Font Manager
- CVE-2020-0938 Vulnérabilité d’exécution de code à distance dans Adobe Font Manager
Comme l’explique Microsoft dans son bulletin mensuel, les deux failles d’exécution à distance dans Adobe Font Manager pourraient conduire à l’exécution de code sur les systèmes autres que Windows 10. Sur Windows 10, elles pourraient être utilisées de façon limitées avec les privilèges de l’application. Microsoft avait déjà alerté les utilisateurs à l’égard de ces vulnérabilités à la fin du mois de mars dans un avis de sécurité, indiquant que plusieurs attaques exploitant cette faille. L’éditeur indiquait déjà que cette vulnérabilité était moins grave sur Windows 10 du fait des mesures de protections déployées au sein de l’OS.
Microsoft a également indiqué à l’occasion de ce Patch Tuesday que plusieurs de ses produits bénéficieraient d’une extension de support, afin de simplifier la tache des utilisateurs affectés par la crise sanitaire en cours.
