Microsoft déploie ses correctifs mensuels de sécurité. Pour ce mois d'août, il s'agit de corriger un total une nouvelle fois élevé de 120 vulnérabilités. C'est le sixième mois de suite que le total de plus de 100 failles dans divers produits est franchi.
Les corrections concernent Windows, les navigateurs de Microsoft, Office, Microsoft Dynamics, SQL Server ou encore divers outils pour les développeurs comme .NET Framework et ASP.NET.
Today is August 2020 update Tuesday! You can find the latest updates online at https://t.co/sqNJoxQvH5.
— Security Response (@msftsecresponse) August 11, 2020
Parmi les 120 vulnérabilités de sécurité corrigées, 17 sont jugées critiques et il y a la présence de deux 0day, à savoir des failles qui ont été exploitées dans le cadre d'attaques avant que des correctifs idoines ne soient fournis par Microsoft.
Une 0day est considérée critique. Référencée CVE-2020-1380, cette vulnérabilité renvoie à une exécution de code à distance et un problème dans la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. À noter que des applications Office peuvent utiliser le moteur de scripting d'IE.
It's the 2nd Tuesday of the month, which means the latest security patches from #Microsoft and #Adobe are here. Join @dustin_childs as he breaks down another large release and covers the 2 CVEs under active attack. https://t.co/h9aTSEW9nA
— Zero Day Initiative (@thezdi) August 11, 2020
La deuxième 0day n'est pas marquée critique. Cette vulnérabilité CVE-2020-1464 de type spoofing (usurpation d'identité) affecte toutes les versions de Windows. Son exploitation permet à un attaquant de contourner des fonctionnalités de sécurité de Windows et " charger des fichiers à signature incorrecte. "
À souligner par ailleurs une curiosité pour le Patch Tuesday d'août avec une vulnérabilité CVE-2020-1472 pour les versions serveurs de Windows qui est de type élévation de privilèges, mais pour autant jugée critique.