Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Office 2016 Click-to-Run (C2R) pour éditions 32 bits
- Microsoft Office 2016 Click-to-Run (C2R) pour éditions 64 bits
- Microsoft Office 2019 pour éditions 32 bits
- Microsoft Office 2019 pour éditions 64 bits
- Office 365 ProPlus pour systèmes 32 bits
- Office 365 ProPlus pour systèmes 64 bits
- Paint 3D
Résumé
Le 21 avril 2020, Microsoft a publié un avis de sécurité annonçant la sortie d'un correctif pour multiples vulnérabilités affectant ses produits qui utilisent la bibliothèque Autodesk FBX.
Ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance si un utilisateur ouvre un fichier spécialement conçu comprenant du contenu 3D.
Le CERT-FR recommande l'application des correctifs dans les plus brefs délais.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
Microsoft annonce qu'il n'existe pas de mesure de contournement pour ces vulnérabilités.
Documentation
- Avis CERT-FR CERTFR-2020-AVI-236 du 22 avril 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-236/
- Bulletin de sécurité Autodesk adsk-sa-2020-0002 du 15 avril 2020 https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002
- Bulletin de sécurité Microsoft ADV200004 du 21 avril 2020 https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200004
- Référence CVE CVE-2020-7080 https://www.cve.org/CVERecord?id=CVE-2020-7080
- Référence CVE CVE-2020-7081 https://www.cve.org/CVERecord?id=CVE-2020-7081
- Référence CVE CVE-2020-7082 https://www.cve.org/CVERecord?id=CVE-2020-7082
- Référence CVE CVE-2020-7083 https://www.cve.org/CVERecord?id=CVE-2020-7083
- Référence CVE CVE-2020-7084 https://www.cve.org/CVERecord?id=CVE-2020-7084
- Référence CVE CVE-2020-7085 https://www.cve.org/CVERecord?id=CVE-2020-7085
