Une semaine après le Patch Tuesday d’Août 2015, Microsoft publie un nouveau bulletin de sécurité relatif à la correction d’une faille de sécurité dans Internet Explorer (IE). Cette vulnérabilité pourrait permettre à un attaquant d’exécuter un code à distance, si un utilisateur affichait une page Web spécialement conçue en utilisant Internet Explorer.
« Un attaquant qui exploite avec succès cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur courant ». En d’autres termes, si l'utilisateur est connecté avec des privilèges d'administrateur, l’attaquant qui réussit à exploiter la vulnérabilité pourrait avoir le plein contrôle d’un système affecté. Il pourrait ainsi « installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes dotés de tous les privilèges. Les systèmes où Internet Explorer est utilisé fréquemment sont les plus exposés à cette vulnérabilité », explique Microsoft dans son bulletin de sécurité.
Les clients avec moins de privilèges sur le système subiraient donc moins d’impact que ceux qui possèdent des privilèges d'administrateur. Toutefois, pour qu’un attaquant puisse exploiter la faille de sécurité, il faudrait d’abord une action de l’utilisateur. Ce dernier devrait donc cliquer sur un lien qui le redirige sur le site de l’attaquant, ou encore ouvrir une pièce jointe piégée.
La vulnérabilité affecte toutes les versions d’Internet Explorer à partir d’IE 7. Selon la version vulnérable du navigateur de Microsoft, plusieurs logiciels pourraient être affectés. Il s’agit de Windows Vista, 7, 8 et 8.1, les différents Service Packs associés ainsi que Windows RT et RT 8.1. Si vous utilisez IE 11 sous Windows 10, votre système pourrait également être affecté d’après l’avis de sécurité publié par Microsoft. Windows Server 2008, 2008 R2, 2012 et 2012 R2 sont également affectés par la vulnérabilité.
La mise à jour de sécurité a été classée critique pour IE sur les clients Windows touchés, et modérée pour IE sur les serveurs Windows touchés. Elle vient corriger la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.
Microsoft Edge, le nouveau navigateur par défaut de la firme de Redmond sous Windows 10 n’est pas affecté par la vulnérabilité.
Source : Microsoft Security TechCenter
Et vous ?
Qu’en pensez-vous ?
Microsoft publie une mise à jour de sécurité critique
Pour corriger une vulnérabilité de corruption de mémoire dans Internet Explorer
Microsoft publie une mise à jour de sécurité critique
Pour corriger une vulnérabilité de corruption de mémoire dans Internet Explorer
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !