Vulnérabilité Internet Explorer : Microsoft publie un patch d’urgence

0
133
Internet Explorer

Microsoft vient de déployer un patch de sécurité d’urgence pour le navigateur Internet Explorer victime d’une vulnérabilité permettant potentiellement de prendre le contrôle d’un ordinateur.

Fait plutôt étonnant, malgré un abandon officiel du navigateur Web Internet Explorer, Microsoft a été contraint de déployer une mise à jour en urgence ce lundi après la découverte d’une vulnérabilité critique au sein du logiciel par un expert de Google Project Zero. La vulnérabilité en question peut très bien être la clé d’un prochain piratage de masse… surtout qu’elle touche les versions 9 à 11 d’Internet Explorer.

La faille en question permettrait de corrompre la mémoire dans le but de lancer du code arbitraire et donc de prendre le contrôle de la machine ciblée. Un pirate pouvait ainsi d’accorder les mêmes droits que l’administrateur du PC afin d’en prendre le contrôle et de récupérer des données sensibles. Plus dangereux encore, il apparaît que la simple consultation d’un site Web infecté permettait d’infiltrer les ordinateurs, d’après les dires de Microsoft.

Michal Salat, Director of Threat Intelligence, chez Avast, a fait le commentaire suivant :

« Cela prouve encore une fois que l’utilisation de programmes obsolètes représente un risque pour la sécurité des utilisateurs, car des personnes malveillantes peuvent abuser des vulnérabilités pour les attaquer. La vulnérabilité en question porte le nom CVE-2019-1367. Elle est présente au sein du moteur responsable de l’exécution de scripts de site Web, tels que JavaScript. Une simple visite sur une page internet infectée par un exploit ciblant cette vulnérabilité permettrait à un attaquant d’exécuter du code à distance, et donc d’exécuter un programme sur le PC, comme le ferait son utilisateur. Si ce dernier possède les droits d’administrateur, ce qui est relativement courant pour les PC sur lesquels Internet Exploreur est toujours installé, l’attaquant aurait le contrôle total sur l’ordinateur. Même avec les droits d’accès les plus faibles, le cybercriminel pourrait exécuter une attaque d’élévation de privilèges au niveau local pour obtenir les droits d’administrateur. Selon les recherches d’Avast, 51,42 % des applications pour PC installées sur des ordinateurs français sont obsolètes. Nous encourageons vivement les utilisateurs à mettre à jour tous leurs programmes dès que les mises à jour sont disponibles, et à stopper l’utilisation des applications et logiciels abandonnés, tels qu’Internet Explorer, ainsi que les systèmes d’exploitation obsolètes, tels que Windows XP et Windows Vista. »