ALERTE CERTFR - 2020 - ALE - 011

ALERTE CERT

CERT-FR

Publié le 22 avril 2020 à 16h34 - Mis à jour le 21 janvier 2025 à 11h46

Objet

Multiples vulnérabilités dans les produits Microsoft qui utilisent la bibliothèque Autodesk FBX

Référence

CERTFR-2020-ALE-011

Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

Microsoft Office 2016 Click-to-Run (C2R) pour éditions 32 bits
Microsoft Office 2016 Click-to-Run (C2R) pour éditions 64 bits
Microsoft Office 2019 pour éditions 32 bits
Microsoft Office 2019 pour éditions 64 bits
Office 365 ProPlus pour systèmes 32 bits
Office 365 ProPlus pour systèmes 64 bits
Paint 3D

Résumé

Le 21 avril 2020, Microsoft a publié un avis de sécurité annonçant la sortie d'un correctif pour multiples vulnérabilités affectant ses produits qui utilisent la bibliothèque Autodesk FBX.

Ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance si un utilisateur ouvre un fichier spécialement conçu comprenant du contenu 3D.

Le CERT-FR recommande l'application des correctifs dans les plus brefs délais.

Contournement provisoire

Microsoft annonce qu'il n'existe pas de mesure de contournement pour ces vulnérabilités.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Avis CERT-FR CERTFR-2020-AVI-236 du 22 avril 2020 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-236/
Bulletin de sécurité Microsoft ADV200004 du 21 avril 2020 : https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/ADV200004
Bulletin de sécurité Autodesk adsk-sa-2020-0002 du 21 avril 2020 : https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002
Référence CVE CVE-2020-7080 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7080
Référence CVE CVE-2020-7081: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7081
Référence CVE CVE-2020-7082 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7082
Référence CVE CVE-2020-7083 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7083
Référence CVE CVE-2020-7084 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7084
Référence CVE CVE-2020-7085 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7085

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-011/