Microsoft a patché deux failles potentielles qui pouvaient être exploitées par des personnes malveillantes.

Microsoft vient de déployer un patch de sécurité d’urgence pour le navigateur Internet Explorer, peut-on lire sur le site du géant américain dans une mise à jour du 23 septembre 2019. Il s’agirait de corriger une faille indexée sous le nom CVE-2019-1367. Une autre, qui concerne le logiciel Defender, l’antivirus de Microsoft, a été nommée CVE-2019-1255.

Comment la première vulnérabilité pourrait-elle être exploitée ? Le billet sur le site de Microsoft précise, concernant cette faille CVE-2019-1367 : « Si l’on imagine le scénario d’une attaque sur le web, un assaillant pourrait héberger un site spécialement conçu pour exploiter la vulnérabilité en question, à travers Internet Explorer, et ensuite convaincre l’utilisateur d’accéder au site, en lui envoyant un mail [avec le lien] par exemple. »

Les versions d’Internet Explorer 9 à 11 sont concernées.

Internet Explorer logo

La faille concernant Defender pourrait quant à elle provoquer des « faux positifs » lorsqu’elle scanne une application. Cela pourrait permettre à une personne malveillante de bloquer des apps à distance.

Des patchs de sécurité en dehors des mises à jour mensuelles

Ces deux patchs ne sont pas passés inaperçus, car ils ont été émis en urgence, et non pas au sein des patchs mensuels diffusés par l’entreprise — d’habitude, la disponibilité des patchs est programmée chaque deuxième mardi du mois.

D’après Microsoft, la première faille qui concerne Internet Explorer serait « activement exploitée » (contrairement à l’autre), mais la multinationale n’a pas précisé par qui, depuis quand ou de quelle manière. La firme, depuis quelques temps, conseille de ne plus utiliser Internet Explorer, surtout pour les entreprises qui ont encore le navigateur par défaut sur certaines machines.

Partager sur les réseaux sociaux