Une belle récolte de correctifs pour le dernier patch tuesday. Microsoft a annoncé comme à son habitude le deuxième mardi du mois, en l'occurrence ce 9 juin, sa salve de patchs pour corriger des vulnérabilités dans ses logiciels et systèmes. Ce mois-ci, 129 failles sont comblées dont 11 critiques et 118 classées comme importantes. A noter qu'aucune des CVE corrigées n'ont fait l'objet d'un exploit. Les correctifs concernent notamment IE, Edge, ChakraCore, Office et Microsoft Office Services et Web Apps, Windows Defender, Microsoft Dynamics, SharePoint, Visual Studio, Azure DevOps, Microsoft Apps pour Android...

« Une vulnérabilité d'exécution de code à distance (CVE-2020-1181) est corrigée dans Sharepoint Server qui permettrait à un utilisateur authentifié sur un système invité d'effectuer des actions de sécurité pour un processus de pool d'applications. Microsoft note que l'exploitation de cette vulnérabilité est moins probable, mais ces correctifs doivent toujours être évalués pour tous les serveurs SharePoint », indique Animesh Jain, responsable produits chez Qualys.

Les machines en réseau non connectées à Internet en danger

Parmi les multiples failles patchées, on trouve la CVE-2020-1299 qui règle un souci d'exécution de code distant relatif à l'extension de fichier sous Microsoft Windows utilisée pour les raccourcis de fichiers LNK. « Un attaquant pourrait utiliser cette vulnérabilité pour obtenir l'exécution de code en faisant traiter par un système affecté un fichier .LNK compromis. Ces types de fichiers sont souvent placés sur une clé USB pour tenter de s'attaquer à des machines en réseau non connectées à Internet », indique l'équipe de chercheurs de Zero Day initiative. Une autre compromission CVE-2020-1229 corrigée permet à un attaquant de charger des images piégées via Microsoft Outlook à des fins de récupération de l'adresse IP du système cible. 

Les CVE-2020-1300 et CVE-2020-1281 corrigent quant à elles respectivement des failles liées à l'exécution de code distant Windows via des fichiers CAB piégés, ainsi que dans le composant Windows Object Linking & Embedding (OLE).