Microsoft publie un patch pour Internet Explorer et Windows Defender

Microsoft vient de publier un patch hors de son planning habituel (et notamment des patchs Tuesday) qui vise à corriger deux vulnérabilités dans le navigateur Internet Explorer, ainsi que dans le logiciel de protection Microsoft Defender. Microsoft communique à ce sujet en ajoutant que la première vulnérabilité, affectant Internet Explorer, serait déjà exploitée par des attaquants. Elle permettrait de faire exécuter du code sur la machine d’une victime qui visiterait un site malveillant. Concernant Microsoft Defender, celle-ci permettrait à un attaquant de faire du déni de service sur un système, en empêchant l’utilisateur d’exécuter des binaires légitimes.

Détails techniques :

• CVE-2019-1367 [Score CVSSv3 7.5] : La vulnérabilité concerne la façon dont le moteur de scripting d’Internet Explorer gère les objets en mémoire. En faisant visiter un site web à la victime sur Internet Explorer (via de l'ingénierie sociale par exemple), l’attaquant peut ensuite corrompre de la mémoire pour pouvoir exécuter du code. Ce code est exécuté avec les privilèges du compte utilisateur de la victime ; si celle-ci est administrateur, l’attaquant pourra donc installer des logiciels, voir ou modifier de la donnée, ou encore créer un nouveau compte privilégié sur la machine.
• CVE-2019-1255 [Score CVSSv3 7.5] : Une vulnérabilité de type déni de service existe dans Microsoft Defender. En effet, celui-ci gère incorrectement certains fichiers ; un attaquant ayant déjà obtenu des droits d’exécution sur le système ciblé pourrait ensuite empêcher les utilisateurs de lancer des programmes systèmes légitimes, entraînant un déni de service local.