Microsoft vient de publier un correctif pour une vulnérabilité sérieuse affectant plusieurs versions d'Internet Explorer. La mise à jour est hautement conseillée, car cette brèche est exploitée depuis plusieurs semaines par des personnes malveillantes.

Microsoft a publié le 11 février son traditionnel bulletin de sécurité mensuel, qui est mis en ligne chaque deuxième mardi du mois. L’éditeur américain y détaille quels sont les produits qui bénéficient d’une nouvelle vague de correctifs. On y trouve le système d’exploitation Windows, le navigateur web Edge, la tablette Surface Hub, ainsi que l’outil de suppression des logiciels malveillants.

À sa lecture, on se rend compte que son ancien navigateur web, le fameux Internet Explorer, a lui aussi droit à son patch, alors même que Microsoft s’égosille depuis maintenant un an à expliquer qu’il n’est plus raisonnable de s’en servir. Il faut à la place privilégier Edge ou, à défaut, opter pour un autre navigateur web moderne, que ce soit Chrome, Firefox, Safari ou bien Opera, pour ne citer que les principaux.

Ce patch corrige la vulnérabilité CVE-2020-0706 qui comporte un risque de divulgation d’informations dans les versions 10 et 11 d’Internet Explorer, mais aussi dans Edge. Il ne s’agit pas d’une faille qui est exploitée, mais si elle l’avait été, une personne malveillante aurait pu connaître l’origine de toutes les pages web dans le navigateur. Cela étant, cette ouverture est jugée basse ou moyenne, selon les cas de figure.

Internet Explorer
La version 9 d’IE est touchée, ainsi que les deux suivantes. // Source : Microsoft

Une grave faille de sécurité exploitée dans lE

Mais en réalité, ce n’est pas cette brèche qui importe. Ce que ne mentionne pas le patch note de Microsoft, c’est qu’une autre vulnérabilité autrement plus grave vient de recevoir un correctif. Il s’agit de la faille CVE-2020-0674, qui a fait les gros titres en janvier. Elle est non seulement jugée beaucoup plus grave que la précédente, mais en plus il s’avère qu’elle est exploitée par des tiers.

Cette vulnérabilité profite d’une faiblesse logicielle dans la façon dont le moteur de script traite les objets en mémoire dans Internet Explorer — cela concerne les trois dernières versions du navigateur à savoir, IE 9, 10 et 11. L’altération de mémoire dans le moteur de script peut permettre à un assaillant d’exécuter du code pour prendre le contrôle du PC d’une victime, s’il se rend sur un site web infecté.

Si un internaute visite l’un de ces sites, qui peut être délibérément compromis pour le piéger, il se trouverait exposé à des manœuvres hostiles de l’attaquant pour récupérer les privilèges d’administrateur — si la victime ouvre une session sur son PC avec ce degré d’autorisation. Dans ce cas, des logiciels malveillants pourraient être installés, des données pourraient être modifiées, supprimées ou dérobées.

Une solution de contournement avait été trouvée à la mi-janvier pour atténuer le risque de piratage, en attendant la sortie d’un patch en bonne et due forme. Celle-ci n’était conseillée qu’en cas de risque élevé, car elle a des répercussions négatives sur les performances de composants et de fonctionnalités appelant le moteur de script. Il s’agissait de restreindre l’usage de la bibliothèque JScript.dll. Il faut inverser ce processus avant de déployer le patch.

Partager sur les réseaux sociaux