Internet Explorer : Microsoft émet un patch de sécurité en urgence pour une faille « exploitée activement »
Microsoft vient de déployer un patch de sécurité d'urgence pour le navigateur Internet Explorer, peut-on lire sur le site du géant américain dans une mise à jour du 23 septembre 2019.
Comment la première vulnérabilité pourrait-elle être exploitée ? Le billet sur le site de Microsoft précise, concernant cette faille CVE-2019-1367 : « Si l'on imagine le scénario d'une attaque sur le web, un assaillant pourrait héberger un site spécialement conçu pour exploiter la vulnérabilité en question, à travers Internet Explorer, et ensuite convaincre l'utilisateur d'accéder au site, en lui envoyant un mail [avec le lien] par exemple.»
Les versions d'Internet Explorer 9 à 11 sont concernées.
La faille concernant Defender pourrait quant à elle provoquer des « faux positifs » lorsqu'elle scanne une application. Cela pourrait permettre à une personne malveillante de bloquer des apps à distance.
Des patchs de sécurité en dehors des mises à jour mensuelles
Ces deux patchs ne sont pas passés inaperçus, car ils ont été émis en urgence, et non pas au sein des patchs mensuels diffusés par l'entreprise — d’habitude, la disponibilité des patchs est programmée chaque deuxième mardi du mois.
D'après Microsoft, la première faille qui concerne Internet Explorer serait « activement exploitée » (contrairement à l'autre), mais la multinationale n'a pas précisé par qui, depuis quand ou de quelle manière. La firme, depuis quelques temps, conseille de ne plus utiliser Internet Explorer, surtout pour les entreprises qui ont encore le navigateur par défaut sur certaines machines.