CERTFR-2024-AVI-0489_Multiples vulnerabilites dans les produits Microsoft

Objet : Multiples vulnérabilités dans les produits Microsoft

Référence : CERTFR-2024-AVI-0489

Risque(s)

- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
- Élévation de privilèges

Système(s) affecté(s)

- Microsoft Authentication Library (MSAL) pour Java versions antérieures à 1.15.1
- Microsoft Authentication Library (MSAL) pour Node.js versions antérieures à 2.9.2
- Microsoft Dynamics 365 (on-premises) version 9.1 antérieures à 1.29
- Microsoft Dynamics 365 Business Central 2023 Release Wave 1 versions antérieures à Application Build 22.13.64344, Platform Build 22.0
- Microsoft Dynamics 365 Business Central 2023 Release Wave 2 versions antérieures à Application Build 23.7.18957, Platform Build 23.0.
- Microsoft Dynamics 365 Business Central 2024 Release Wave 1 versions antérieures à Application Build 24.1.19498, Platform Build 24.0.
- Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5452.1000
- Microsoft SharePoint Server 2019 versions antérieures à 16.0.10411.20004
- Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.17328.20362
- Microsoft Visual Studio 2017 versions 15.x antérieures à 15.9.63
- Microsoft Visual Studio 2019 versions 16.x antérieures à 16.11.37
- Microsoft Visual Studio 2022 versions 17.10.x antérieures à 17.10.2
- Microsoft Visual Studio 2022 versions 17.4.x antérieures à 17.4.20
- Microsoft Visual Studio 2022 versions 17.6.x antérieures à 17.6.16
- Microsoft Visual Studio 2022 versions 17.8.x antérieures à 17.8.11

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

- Bulletin de sécurité Microsoft CVE-2024-29060 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29060
- Bulletin de sécurité Microsoft CVE-2024-29187 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29187
- Bulletin de sécurité Microsoft CVE-2024-30052 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30052
- Bulletin de sécurité Microsoft CVE-2024-30100 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30100
- Bulletin de sécurité Microsoft CVE-2024-35248 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35248
- Bulletin de sécurité Microsoft CVE-2024-35249 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35249
- Bulletin de sécurité Microsoft CVE-2024-35255 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35255
- Bulletin de sécurité Microsoft CVE-2024-35263 du 11 juin 2024
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35263
- Référence CVE CVE-2024-29060
https://www.cve.org/CVERecord?id=CVE-2024-29060
- Référence CVE CVE-2024-29187
https://www.cve.org/CVERecord?id=CVE-2024-29187
- Référence CVE CVE-2024-30052
https://www.cve.org/CVERecord?id=CVE-2024-30052
- Référence CVE CVE-2024-30100
https://www.cve.org/CVERecord?id=CVE-2024-30100
- Référence CVE CVE-2024-35248
https://www.cve.org/CVERecord?id=CVE-2024-35248
- Référence CVE CVE-2024-35249
https://www.cve.org/CVERecord?id=CVE-2024-35249
- Référence CVE CVE-2024-35255
https://www.cve.org/CVERecord?id=CVE-2024-35255
- Référence CVE CVE-2024-35263
https://www.cve.org/CVERecord?id=CVE-2024-35263

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0489/