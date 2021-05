Patch Tuesday – Mai 2021 : 55 vulnérabilités dont 5 critiques et correctifs Adobe

mai 2021 par Qualys

Le Patch Tuesday de ce mois traite 55 vulnérabilités, dont 5 classées critiques et 49 importantes. Microsoft a également corrigé trois vulnérabilités 0-Day. Dans le cadre de son Patch Tuesday, Adobe a publié des correctifs pour 43 vulnérabilités CVE pour les gammes de produits suivantes : Experience Manager, InDesign, Illustrator, InCopy, Genuine Service, Acrobat et Reader, Magento, Creative Cloud Desktop Application, Media Encoder, After Effects, Medium et Animate.

Adobe a aussi corrigé une vulnérabilité 0-Day (CVE-2021-28550).

Microsoft

CVE-2021-31181 – Vulnérabilité par exécution de code à distance dans SharePoint

Microsoft a publié des correctifs pour résoudre une vulnérabilité RCE critique dans SharePoint (CVE-2021-31181). Cette vulnérabilité CVE a un fort potentiel d’exploitabilité et s’est vue attribuer un score de vérité CVSSv3 de 8,8 par l’éditeur.

CVE-2021-31166 – Vulnérabilité par exécution de code à distance dans la pile de protocoles HTTP

Microsoft a publié des correctifs pour résoudre une vulnérabilité RCE critique dans Windows. L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code à distance au niveau du noyau. Il s’agit d’une vulnérabilité qui peut se propager sous la forme de vers et il suffit à un attaquant d’envoyer un paquet malveillant sur le serveur Web ciblé. Cette vulnérabilité CVE a un fort potentiel d’exploitabilité et le score de vérité CVSSv3 attribué par l’éditeur est de 7,8.

Trois vulnérabilités Zero-Day corrigées

Microsoft a également corrigé trois vulnérabilités 0-Day. Même si elles ne sont pas exploitées à l’aveugle, elles doivent être corrigées en priorité.

• CVE-2021-31204 – Vulnérabilité avec élévation de privilèges dans .NET et Visual Studio

• CVE-2021-31207 – Vulnérabilité avec contournement des fonctions de sécurité de Microsoft Exchange Server

• CVE-2021-31200 – Vulnérabilité par exécution de code à distance au niveau des utilitaires courants (Common Utilities)

Correctifs pour les postes de travail

Les vulnérabilités affectant Microsoft Office doivent être traitées en priorité pour les équipements de type postes de travail.

Adobe

Parmi les vulnérabilités corrigées par Adobe, la CVE-2021-28550 est une vulnérabilité 0-Day qui nécessite une attention immédiate. En effet, il s’agit d’une vulnérabilité par exécution de code à distance qui impacte Adobe Acrobat et Reader et qui est exploitée de manière active en mode aveugle sur les équipements Windows. Les attaquants peuvent ainsi exécuter du code arbitraire sous Windows et notamment installer des applications malveillantes pour accéder pleinement aux machines ciblées.

