CERTFR-2020-ALE-009

<strong>\[Mise à jour du 15 avril 2020\]</strong> Le 14 avril 2020, Microsoft a publié les correctifs de sécurité pour les vulnérabilités CVE-2020-1020 et CVE-2020-0938 à l'occasion de sa mise à jour mensuelle. Le CERT-FR recommande l’application des correctifs dans les plus brefs délais. Microsoft a également mis à jour son avis [ADV200006](https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006) pour donner les étapes à suivre pour annuler les effets des mesures de contournement (voir les paragraphes "<strong>How to undo the workaround.</strong>"). <strong>\[Publication initiale\]</strong> La bibliothèque *Adobe Type Manager Library* utilisée dans *Microsoft Windows* assure la gestion des polices de caractère pour le format postscript. Celle-ci est chargée lors de la lecture d'un fichier. La lecture d'un fichier peut être demandée explicitement par l'utilisateur (ouverture d'une pièce jointe) comme implicitement réalisée par un moteur de rendu automatique (prévisualisation de miniatures). Le 23 mars 2020, l'éditeur a émis un bulletin de sécurité indiquant que cette bibliothèque ne prenait pas correctement en charge le traitement des polices de caractère multi-maîtres. Les deux vulnérabilités associées sont en ce moment exploitées dans la cadre d'un nombre limité d'attaques ciblées. L'éditeur prévoit d'intégrer le correctif dans son cycle régulier de mise à jour. Ces vulnérabilités peuvent être exploitées en demandant à un utilisateur d'ouvrir un fichier malveillant ou en affichant le document dans l'espace de prévisualisation de l'explorateur de fichier. Il est à noter que le panneau de prévisualisation de *Microsoft Outlook* n'est pas impacté par cette vulnérabilité et que l'impact est limité pour les versions de *Windows* 10 supérieures ou égales à 1703 pour lesquelles la gestion des polices de caractère est gérée dans des conteneurs.