
« Un attaquant qui exploite avec succès cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur courant ». En d’autres termes, si l'utilisateur est connecté avec des privilèges d'administrateur, l’attaquant qui réussit à exploiter la vulnérabilité pourrait avoir le plein contrôle d’un système affecté. Il pourrait ainsi « installer des programmes ; afficher, modifier ou supprimer des données ; ou créer de nouveaux comptes dotés de tous les privilèges. Les systèmes où Internet Explorer est utilisé fréquemment sont les plus exposés à cette vulnérabilité », explique Microsoft dans son bulletin de sécurité.
Les clients avec moins de privilèges sur le système subiraient donc moins d’impact que ceux qui possèdent des privilèges d'administrateur. Toutefois, pour qu’un attaquant puisse exploiter la faille de sécurité, il faudrait d’abord une action de l’utilisateur. Ce dernier devrait donc cliquer sur un lien qui le redirige sur le site de l’attaquant, ou encore ouvrir une pièce jointe piégée.

La vulnérabilité affecte toutes les versions d’Internet Explorer à partir d’IE 7. Selon la version vulnérable du navigateur de Microsoft, plusieurs logiciels pourraient être affectés. Il s’agit de Windows Vista, 7, 8 et 8.1, les différents Service Packs associés ainsi que Windows RT et RT 8.1. Si vous utilisez IE 11 sous Windows 10, votre système pourrait également être affecté d’après l’avis de sécurité publié par Microsoft. Windows Server 2008, 2008 R2, 2012 et 2012 R2 sont également affectés par la vulnérabilité.
La mise à jour de sécurité a été classée critique pour IE sur les clients Windows touchés, et modérée pour IE sur les serveurs Windows touchés. Elle vient corriger la vulnérabilité en modifiant la façon dont Internet Explorer traite les objets en mémoire.
Microsoft Edge, le nouveau navigateur par défaut de la firme de Redmond sous Windows 10 n’est pas affecté par la vulnérabilité.
Source : Microsoft Security TechCenter
Et vous ?
