Microsoft a publié un avis hors bande cette semaine pour corriger les vulnérabilités d’Autodesk FBX dans Office, Office 365 et Paint 3D.

Plusieurs bogues corrigés dans le kit de développement logiciel (SDK) Autodesk FBX au début du mois pourraient entraîner l’exécution de code et des conditions de déni de service.

Toutes les applications et tous les services utilisant le FBX-SDK Ver. 2020.0 ou une version antérieure pourrait être affectée par «un débordement de tampon, une confusion de type, une utilisation après libération, un débordement d’entier, une déréférence de pointeur NULL et des vulnérabilités de débordement de tas», explique Autodesk.

Les bogues corrigés sont suivis comme CVE-2020-7080 (conduisant à l’exécution de code), CVE-2020-7081 (conduisant à l’exécution de code ou à un déni de service), CVE-2020-7082 (exécution de code), CVE-2020-7083 (déni de service), CVE-2020-7084 (déni de service), et CVE-2020-7085 (exécution de code).

Selon Microsoft, l’utilisation de la bibliothèque Autodesk FBX dans certains de ses produits a entraîné des vulnérabilités d’exécution de code à distance qui sont déclenchées lors du traitement de contenu 3D spécialement conçu.

Un attaquant capable d’exploiter les bogues pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur local, explique Microsoft. Pour cibler les vulnérabilités, l’attaquant devrait envoyer à l’utilisateur un fichier spécialement conçu contenant du contenu 3D et les inciter à ouvrir le fichier.

«Les mises à jour de sécurité corrigent ces vulnérabilités en corrigeant la façon dont le contenu 3D est géré par les logiciels Microsoft», note le géant de la technologie dans un avis.

Aucun facteur atténuant ou solution de contournement n’a été identifié.

«Microsoft a identifié cela comme une vulnérabilité d’exécution de code à distance; cependant, il est important de noter que cette vulnérabilité nécessite qu’un utilisateur ouvre un fichier malveillant, qui n’est pas une exécution à distance », a déclaré Ryan Seguin, ingénieur de recherche, Tenable, dans un commentaire envoyé par e-mail.

«Certains peuvent se demander comment Microsoft Office est vulnérable à une vulnérabilité d’Autodesk. Ce ne sont en aucun cas de mauvaises pratiques de sécurité de la part de Microsoft, mais des vulnérabilités comme celles-ci sont un bon exemple de la façon dont l’intégration des outils et du code d’un autre groupe signifie que vous intégrez également leurs vulnérabilités dans votre propre produit – dans ce cas, Microsoft Office, Office 365 ProPlus et Paint 3D », a poursuivi Seguin.

Bien que l’avis hors bande ait été publié cette semaine, les correctifs pour les logiciels vulnérables devraient arriver dans le cadre du Patch Tuesday de mai.

Mots clés:



Voir la source de cette publication