Satnam Narang, Principal Research Engineer, chez Tenable, commente :
« Microsoft a publié un correctif pour CVE-2020-1020, une vulnérabilité d’exécution de code à distance dans la bibliothèque Adobe Font Manager. Cette vulnérabilité a été rendue publique pour la première fois le 23 mars, lorsque Microsoft a publié un avis détaillant son exploitation à l’état brut.
Pour exploiter ces failles, un cybercriminel doit inciter un utilisateur à ouvrir un document malveillant ou à l’afficher dans le volet de visualisation de Windows.
En outre, Microsoft a corrigé CVE-2020-0968, une vulnérabilité de corruption de mémoire dans Internet Explorer. Cette faille existe en raison de la mauvaise manipulation des objets en mémoire par le moteur de script. Plusieurs scénarios d’exploitation de cette vulnérabilité sont envisageables. Le principal moyen consisterait à inciter un utilisateur à se rendre sur un site web contenant le code malveillant, que ce dernier appartienne au cybercriminel, ou qu’il soit encodé sur le site internet compromis. Alternativement, le cybercriminel peut également inciter l’utilisateur à ouvrir un document Microsoft Office qui intègre le code malveillant. »

Pour en savoir plus sur ce sujet, rendez-vous sur le blog de Tenable.