Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft fournit une mise à jour d'urgence pour corriger une faille critique dans IE
Qui permettrait d'exécuter du code malveillant à distance

Le , par Bill Fassinou

200PARTAGES

14  0 
Mercredi dernier, Microsoft a publié d’urgence une mise à jour de sécurité pour Internet Explorer après sa mise à jour de mardi afin d’empêcher l’utilisation d’une vulnérabilité liée au moteur de script utilisé par le navigateur. Rappelons que le mardi dernier, la firme publiait une mise à jour dite finalement stable pour Windows 10 October 2018 qui avait causé un peu d’ennuies aux utilisateurs. La firme indiquait que pour cette mise à jour, tous les problèmes (fichiers manquants, incompatibilité avec iCloud, problèmes liés à certains nouveaux pilotes d’affichage d'Intel, les clients VPN F5, le logiciel de sécurité de Trend Micro, etc...) que les utilisateurs ont pu rencontrer avec Redstone 5 et ceux relevés par l’équipe de Microsoft, il y a deux mois, ont pour la plupart tous été résolus.


Cette mise à jour d’urgence intervient dans le cadre d’un rapport fourni à Microsoft par le groupe d’analyse des menaces de Google. Ce rapport a permis à la société de se rendre compte de l’existence d’une importante menace dans le navigateur. A en croire l’éditeur, cette faille aurait déjà été exploitée dans des attaques ciblées. Cette vulnérabilité baptisée CVE-2018-8653, est une faille de sécurité jugée grave par Microsoft et affecte le moteur de script utilisé par le navigateur. Elle peut être exploitée par un attaquant pour exécuter du code arbitraire à distance grâce à la façon dont le moteur de script gère les objets en mémoire dans Internet Explorer.

Dans le bulletin de sécurité de la société qui donne plus d’explication sur la faille et comment s’en protéger, elle écrit que « cette vulnérabilité pourrait corrompre la mémoire, de sorte qu'un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, l’attaquant pourrait prendre le contrôle du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes avec des droits d'utilisateur complets ».

Microsoft explique aussi que la faille peut servir également à réaliser une attaque Web. Dans ce cas, l’attaquant peut, par le biais d’un site, collecter les informations personnelles de la victimes. La vulnérabilité est présente dans plusieurs versions du navigateur. Il s’agit des versions 9, 10 et 11 d’Internet Explorer. Cependant, le correctif de sécurité n’est disponible que pour les machines équipées des systèmes d’exploitation Windows 7, Windows 8.1, Windows 10 et Windows Server 2008, 2012, 2016 et 2019. Le correctif de sécurité publié sera directement installé sur les machines où les mises à jour automatiques sont activées a indiqué Microsoft et propose également une solution de contournement pour restreindre l’accès à JScript.dll utilisé par certains sites comme moteur de recherche et qui sont susceptibles d’être affectés par la vulnérabilité.

Sur son site, Microsoft encourage les utilisateurs à activer les mise à jour automatiques afin de bénéficier à chaque fois des dernières solutions de sécurité et remercie l’équipe de Google pour l’aide apportée à la firme dans la détection de cette menace. Certains internautes déclarent ne plus utiliser le navigateur depuis un bon nombre d’années et qu’il est vieux déjà. Ils proposent également que Microsoft devraient songer à développer d’autres solutions ou un autre navigateur.

Source : Microsoft

Et vous ?

Êtes-vous un utilisateur d'Internet Explorer ? Qu'en pensez-vous ?

Voir aussi

Windows 10 October 2018 : Microsoft dit avoir corrigé tous les bogues et les problèmes signalés et propose une nouvelle mise à jour plus stable

Microsoft confirme que les utilisateurs de Windows 10 risque de tester une mise à jour instable lorsqu'ils font la mise à jour manuellement

Windows 10 : Microsoft annonce la disponibilité de la mise à jour October 2018 qui débarque avec l'application Your Phone

Windows 10 October update : Microsoft reprend le déploiement arrêté il y a un mois, car la MàJ supprimait des fichiers chez certains utilisateurs

Le redéploiement de Windows 10 October 2018 Update se rapproche un peu plus avec la sortie de la build 17763.103 pour les Insiders et de correctifs

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de piingwy
Futur Membre du Club https://www.developpez.com
Le 24/12/2018 à 23:42
Comme d'habitude on se retrouve bloqués entre déployer la mise à jour d'urgence et se retrouver avec des pc ne fonctionnant pas comme prévu, et ne pas déployer la maj de peur de niquer des pc au risque de laisser une faille. Merci Microsoft
5  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 22/12/2018 à 7:56
Si tu as des sites utilisant ActiveX, tu fais comment ? : IE.
2  0 
Avatar de 23JFK
Membre expérimenté https://www.developpez.com
Le 21/12/2018 à 18:54
Faudrait surtout empêcher windows d'inviter l'utilisateur à mettre IE en navigateur par défaut après une mise à jour.
0  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 21/12/2018 à 21:03
pourquoi IE est-il encore présent sur Windows... MS Edge n'est-il pas suffisamment abouti pour le remplacer définitivement ?
0  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 22/12/2018 à 6:50
pourquoi IE est-il encore présent sur Windows
Essentiellement pour la rétrocompatibilité.
0  0 
Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 22/12/2018 à 7:49
peux-tu être plus précis ? --> la rétrocompatibilité de quoi ?
Quand je change de navigateur web, par exemple, passer de Chrome à Firefox, je laisse pas Chrome pour des raisons de "rétrocompatibilité", je le désinstalle simplement et définitivement.
En quoi serait-ce différent pour IE, c'est une application ou un outil système ?
0  0 
Avatar de Eric80
Membre averti https://www.developpez.com
Le 23/12/2018 à 20:49
SharePoint 2010 requiert un plugin ActiveX pour ouvrir les documents dans Office. Donc cela ne fonctionne que sous IE, Edge ne gérant pas cela correctement.
MS a corrigé le tir avec les versions suivantes de SharePoint.

Retour à la faille.
https://www.securityfocus.com/bid/106255/info
Il n est question d une vulnérabilité qu'à partir de IE9, qui est la version la + ancienne encore supportée par MS.

Ce qui est vraiment intéressant, c est de savoir si IE8 serait aussi affecté. Si oui, cela pourrait être la faille qui pourrait enfin enterrer définitivement Windows XP (où IE8 est la dernière versions installable)!
0  0