Microsoft corrigera la vulnérabilité actuellement exploitée affectant IE9,10 et 11

Accueil » Microsoft

Icône de temps de lecture 2 minute. lis

Icône de calendrier Publié le

by Surur Davids 

publié sur

Partagez cet article

Les lecteurs aident à prendre en charge MSpoweruser. Nous pouvons recevoir une commission si vous achetez via nos liens. Icône d'info-bulle

Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus

À 7.44 %, Internet Explorer a toujours plus de parts de marché qu'Edge et seulement un peu moins que Firefox. C'est donc une bonne nouvelle que Microsoft s'apprête à corriger une faille dans le navigateur qui pourrait entraîner l'exécution de code à distance si quelqu'un visite un site Web spécialement conçu à l'aide du logiciel.

L'avis de Microsoft concernant la vulnérabilité de corruption de la mémoire du moteur de script ADV200001 indique :

Il existe une vulnérabilité d'exécution de code à distance dans la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait corrompre la mémoire de telle manière qu'un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant qui parviendrait à exploiter la vulnérabilité pourrait prendre le contrôle d'un système affecté. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec tous les droits d'utilisateur.

Dans un scénario d'attaque Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter la vulnérabilité via Internet Explorer, puis convaincre un utilisateur de consulter le site Web, par exemple en envoyant un e-mail.

Microsoft a dit TechCrunch qu'il était "au courant des attaques ciblées limitées" et qu'il "travaillait sur un correctif". La faille semble similaire à celle de Firefox affectée et est attribuée à la même équipe de recherche en sécurité basée en Chine, Qihoo 360.

Microsoft ne publiera cependant pas de mise à jour Out of Band comme l'année dernière, ce qui signifie que les utilisateurs devront attendre le prochain Patch Tuesday le 11 février.

La faille est si grave que la sécurité intérieure a publié un consultatif. Paradoxalement, Internet Explorer est très probablement utilisé avec des données sensibles, car ce sont généralement les utilisateurs d'entreprise qui restent bloqués sur le navigateur en raison de la nécessité de prendre en charge des applications Web spécialement codées.

Il existe des techniques d'atténuation que les administrateurs peuvent utiliser, qui peuvent être trouvées dans les conseils de Microsoft ici.

Via Engadget

En savoir plus sur les sujets : Internet Explorer, sécurité, fenêtres 10

Surur Davids

Surur Davids bouclier

Expert en smartphones

Surur Davids est le fondateur de WMPoweruser qui deviendra plus tard MSPoweruser.com. C'est un expert en smartphones avec plus d'une décennie d'expérience.