Risque(s)

• Atteinte à la confidentialité des données
• Exécution de code à distance
• Usurpation d'identité

Systèmes affectés

• Microsoft Authentication Library (MSAL) pour Android
• Microsoft Visual Studio 2017 version 15.0
• Microsoft Visual Studio 2017 version 15.9 (includes 15.1 - 15.8)
• Microsoft

Visual Studio 2017 version 16.0

Microsoft Visual Studio 2019 version 16.0

Microsoft Visual Studio 2019 version 16.4 (includes 16.0 - 16.3)

Microsoft Visual Studio Live Share extension

Power BI Report Server

SQL Server 2017 Reporting Services

SQL Server 2019 Reporting Services

Skype pour Business Server 2019 CU2

Résumé

De multiples vulnérabilités ont été corrigées dans les produits Microsoft. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une exécution de code à distance et une usurpation d'identité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Microsoft du 10 décembre 2019
  https://portal.msrc.microsoft.com/fr-FR/security-guidance
• Référence CVE CVE-2019-1490
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1490
• Référence CVE CVE-2019-1387
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1387
• Référence CVE CVE-2019-1349
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1349
• Référence CVE CVE-2019-1332
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1332
• Référence CVE CVE-2019-1350
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1350
• Référence CVE CVE-2019-1351
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1351
• Référence CVE CVE-2019-1486
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1486
• Référence CVE CVE-2019-1487
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1487
• Référence CVE CVE-2019-1354
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1354
• Référence CVE CVE-2019-1352
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1352