Sécurité - Clap de fin pour Remote Desktop Connection Manager (CVE-2020-0765)
Microsoft a récemment constaté une faille de sécurité majeure dans son logiciel Microsoft Remote Desktop Connection Manager.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire des fichiers arbitraires via une déclaration d'entité externe XML. Pour exploiter cette vulnérabilité, un attaquant pourrait créer un fichier RDG contenant du contenu XML spécialement conçu et convaincre un utilisateur authentifié d'ouvrir le fichier.
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire des fichiers arbitraires via une déclaration d'entité externe XML. Pour exploiter cette vulnérabilité, un attaquant pourrait créer un fichier RDG contenant du contenu XML spécialement conçu et convaincre un utilisateur authentifié d'ouvrir le fichier.
Par conséquent Microsoft a décidé de mettre fin au produit et demande aux utilisateurs de passer par la fonction intégrée à Windows : MSTSC (Connection Bureau à distance)