CERTFR-2025-AVI-0118_Multiples vulnerabilites dans les produits Microsoft

AVIS CERT

CERT-FR

Publié le 12 février 2025 à 10h00 - Mis à jour le 26 février 2025 à 16h21

Objet

Multiples vulnérabilités dans les produits Microsoft

Référence

CERTFR-2025-AVI-0118

Risque(s)

Contournement de la politique de sécurité
Exécution de code arbitraire à distance
Élévation de privilèges

Système(s) affecté(s)

CBL Mariner 2.0 ARM versions antérieures à 18.17.1-2
CBL Mariner 2.0 x64 versions antérieures à 18.17.1-2
Microsoft AutoUpdate pour Mac versions antérieures à 4.77.24121924
Microsoft HPC Pack 2016 versions antérieures à 2016.3
Microsoft HPC Pack 2019 versions antérieures à 6.3.8328.0
Microsoft PC Manager versions antérieures à 3.15.4.0
Microsoft SharePoint Enterprise Server 2016 versions antérieures à 16.0.5487.1000
Microsoft SharePoint Server 2019 versions antérieures à 16.0.10416.20050
Microsoft SharePoint Server Subscription Edition versions antérieures à 16.0.17928.20396
Microsoft Surface Go 2
Microsoft Surface Go 3
Microsoft Surface Hub
Microsoft Surface Hub 2S
Microsoft Surface Hub 3
Microsoft Surface Laptop Go
Microsoft Surface Laptop Go 2
Microsoft Surface Laptop Go 3
Microsoft Surface Pro 7+
Microsoft Surface Pro 8
Microsoft Surface Pro 9 ARM
Microsoft Visual Studio 2017 version 15.9 (inclus 15.0 - 15.8) antérieures à 15.9.70
Microsoft Visual Studio 2019 version 16.11 (inclus 16.0 - 16.10) antérieures à 16.11.44
Microsoft Visual Studio 2022 version 17.10 antérieures à 17.10.11
Microsoft Visual Studio 2022 version 17.12 antérieures à 17.12.5
Microsoft Visual Studio 2022 version 17.8 antérieures à 17.8.18
Surface Laptop 3 with Intel Processor
Surface Laptop 4 with AMD Processor
Surface Laptop 4 with Intel Processor
Surface Windows Dev Kit
Visual Studio Code - JS Debug Extension versions antérieures à 1.97.1
Visual Studio Code versions antérieures à 1.97.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Microsoft. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité Microsoft CVE-2023-32002 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32002
Bulletin de sécurité Microsoft CVE-2025-21194 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21194
Bulletin de sécurité Microsoft CVE-2025-21198 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21198
Bulletin de sécurité Microsoft CVE-2025-21206 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21206
Bulletin de sécurité Microsoft CVE-2025-21322 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21322
Bulletin de sécurité Microsoft CVE-2025-21400 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21400
Bulletin de sécurité Microsoft CVE-2025-24036 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24036
Bulletin de sécurité Microsoft CVE-2025-24039 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24039
Bulletin de sécurité Microsoft CVE-2025-24042 du 10 février 2025 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24042
Référence CVE CVE-2023-32002 : https://www.cve.org/CVERecord?id=CVE-2023-32002
Référence CVE CVE-2025-21194 : https://www.cve.org/CVERecord?id=CVE-2025-21194
Référence CVE CVE-2025-21198 : https://www.cve.org/CVERecord?id=CVE-2025-21198
Référence CVE CVE-2025-21206 : https://www.cve.org/CVERecord?id=CVE-2025-21206
Référence CVE CVE-2025-21322 : https://www.cve.org/CVERecord?id=CVE-2025-21322
Référence CVE CVE-2025-21400 : https://www.cve.org/CVERecord?id=CVE-2025-21400
Référence CVE CVE-2025-24036 : https://www.cve.org/CVERecord?id=CVE-2025-24036
Référence CVE CVE-2025-24039 : https://www.cve.org/CVERecord?id=CVE-2025-24039
Référence CVE CVE-2025-24042 : https://www.cve.org/CVERecord?id=CVE-2025-24042

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0118/