Microsoft a laissé Internet Explorer un peu de côté ces dernières années pour se concentrer sur Edge, son nouveau navigateur. Il s’avère qu’IE est encore utilisé par beaucoup de gens et qu’il a besoin au moins de recevoir des mises à jour de sécurité.
La dernière en date a été publiée après qu’une équipe de sécurité de Google, le Threat Analysis Group, ait découvert une vulnérabilité et en ait informé Microsoft. La lacune réside dans la manière dont le moteur de script d’Internet Explorer gère les objets en mémoire.
Avec la défaillance identifiée comme CVE-2018-8653, o IE a permis à des tiers de corrompre la mémoire et d’exécuter ensuite le code à partir de la permission accordée à ceux qui utilisent effectivement le navigateur.
“Un attaquant qui a exploité avec succès la vulnérabilité pourrait obtenir les mêmes autorisations que l’utilisateur actuel”, explique Microsoft. “Si l’utilisateur est connecté avec des droits d’administrateur, un attaquant qui a exploité la vulnérabilité pourrait prendre le contrôle d’un système affecté.
Grâce à cette erreur, les intrus ont pu installer des programmes et créer des comptes avec des autorisations maximales, ainsi qu’afficher, modifier et supprimer des données. Cette vulnérabilité a été exploitée à la fois par des sites web légitimes victimes de codes malveillants et par des sites web créés spécialement pour violer le système.
La mise à jour proposée par Microsoft corrige les failles d’Internet Explorer 9, 10 et 11 utilisées dans Windows 10, Windows 8.1, Windows 7 SP1, Windows Server 2012 ou Windows Server 2008.