Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows 10 version 1709 pour systèmes 32 bits
- Windows 10 version 1709 pour systèmes ARM64
- Windows 10 version 1709 pour systèmes x64
- Windows 10 version 1803 pour systèmes 32 bits
- Windows 10 version 1803 pour systèmes ARM64
- Windows 10 version 1803 pour systèmes x64
- Windows 10 version 1809 pour systèmes 32 bits
- Windows 10 version 1809 pour systèmes ARM64
- Windows 10 version 1809 pour systèmes x64
- Windows 10 version 1903 pour systèmes 32 bits
- Windows 10 version 1903 pour systèmes ARM64
- Windows 10 version 1903 pour systèmes x64
- Windows 10 version 1909 pour systèmes 32 bits
- Windows 10 version 1909 pour systèmes ARM64
- Windows 10 version 1909 pour systèmes x64
- Windows 10 version 2004 pour systèmes 32 bits
- Windows 10 version 2004 pour systèmes ARM64
- Windows 10 version 2004 pour systèmes x64
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1709 (Server Core Installation)
- Windows Server, version 1803 (Server Core Installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
Résumé
[Mise à jour du 03 juillet 2020]
Microsoft a mis à jour ses avis pour indiquer que les versions Server de Windows ne sont pas vulnérables.
De même, comme les composants vulnérables sont uniquement disponibles par le Windows Store, tout système bloquant celui-ci n'est pas vulnérable.
[Publication initiale]
Le 30 juin 2020 Microsoft a publié un correctif de sécurité en avance de phase sur son cycle mensuel.
Ce correctif concerne deux vulnérabilités, identifiées par CVE-2020-1425 et CVE-2020-1457. Celles-ci se situent dans la bibliothèque de Codecs de Windows et permettent une exécution de code arbitraire à distance.
Ces vulnérabilités s'exploitent lorsqu'un attaquant arrive à faire
charger une image piégée par un système affecté, que ce soit un poste
client ou un serveur.
Microsoft indique qu'il n'existe pas de mesure de contournement pour ces deux vulnérabilités et que les systèmes vulnérables seront mis à jour de manière automatisée.
Il est possible de mettre à jour manuellement en passant par le Microsoft Store.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis CERT-FR CERTFR-2019-AVI-640 du 01 juillet 2020 https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-400/
- Bulletin de sécurité Microsoft CVE-2020-1425 du 30 juin 2020 https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1425
- Bulletin de sécurité Microsoft CVE-2020-1457 du 30 juin 2020 https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-1457
- Référence CVE CVE-2020-1425 https://www.cve.org/CVERecord?id=CVE-2020-1425
- Référence CVE CVE-2020-1457 https://www.cve.org/CVERecord?id=CVE-2020-1457