Une vulnérabilité grave dans le navigateur Internet Explorer permet potentiellement de prendre le contrôle d’un ordinateur en lui faisant visiter un site frauduleux. Le bon vieil Internet Explorer n’est plus utilisé par beaucoup de monde.
Celui-ci est pourtant encore supporté dans sa version 11, et le sera jusqu’à la fin de vie de Windows 10. Et les bienveillants hackeurs du Project Zero de Google y ont trouvé une faille de sécurité critique.
Microsoft vient de publier en urgence deux patchs de sécurité. L’un concerne Internet Explorer et l’autre corrige une faille moins importante dans l’antivirus Microsoft Defender, qui permet éventuellement de causer un déni de service sur la machine affectée. Même si vous n’utilisez pas ces logiciels, nous vous conseillons de mettre à jour votre Windows.
Une attaque répandue
La vulnérabilité dans Internet Explorer touche ses trois versions les plus récentes, 9, 10 et 11. En exécutant correctement un morceau de code, l’attaquant pourrait obtenir les mêmes droits que l’utilisateur.
Si l’utilisateur actuel est logué avec des droits administrateur », comme c’est souvent le cas sur un PC domestique, « un attaquant […] pourrait prendre le contrôle du système affecté, et ensuite installer des programmes ; visionner, modifier ou supprimer des données ; ou créer de nouveaux comptes avec les pleins droits utilisateurs
Ce genre d’attaque serait de plus assez couramment employé sur Internet aujourd’hui, même si Microsoft préfère ne pas livrer de détails.
Dans un scénario d’attaque basé sur le web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter la vulnérabilité par Internet Explorer, et puis convaincre l’utilisateur de visionner ce site, par exemple en lui envoyant un email.
[ Source : The Next Web ]
