Adobe n’a pas publié de correctif pour ce Patch Tuesday.

Correctifs pour postes de travail

Déployer les correctifs pour les vulnérabilités qui affectent des moteurs de script, des fichiers LNK (CVE-2020-0684), l’API GDI+(CVE-2020-0831, CVE-2020-0883) et Media Foundation (CVE-2020-0801, CVE-2020-0809, CVE-2020-0807 et CVE-2020-0869) est une priorité pour les équipements de type poste de travail, à savoir tout système utilisé pour accéder à la messagerie ou à Internet via un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Exécution de code RCE dans Microsoft Word

Le Patch Tuesday de ce mois-ci résout aussi une vulnérabilité par exécution de code à distance (CVE-2020-0852) dans Microsoft Word. Un attaquant peut exploiter la vulnérabilité en utilisant un fichier malveillant pour réaliser des actions au nom de l’utilisateur connecté, avec les mêmes permissions que l’utilisateur légitime.

RCE dans Application Inspector

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-0872) dans l’outil Application Inspector. Cette vulnérabilité peut permettre à un attaquant d’exécuter du code sur un système ciblé s’il parvient à convaincre un utilisateur d’exécuter Application Inspector sur du code comprenant un composant tiers malveillant. Même si cette vulnérabilité n’est indiquée que comme « Importante », le correctif doit être déployé en priorité.

RCE dans Dynamics Business Central

Le client Dynamics Business Central est affecté par une vulnérabilité par exécution de code à distance (CVE-2020-0905) qui peut permettre à un attaquant d’exécuter des commandes Shell arbitraires sur un système ciblé. Même si cette vulnérabilité est considérée comme « Moins sujette à exploitation », si l’on considère que la cible est probablement un serveur critique, il s’agit alors d’une priorité pour tous les serveurs et postes de travail Windows.