Pour gérer vos consentements :
Categories: NavigateursPoste de travailSécurité

Faille Internet Explorer : le moteur de script encore touché

Une faille de plus dans le moteur de script d’Internet Explorer.

Microsoft en a fait état vendredi 17 janvier… sans fournir de correctif.

La vulnérabilité réside dans la gestion des objets en mémoire. Elle peut permettre l’exécution distante de code avec le niveau de privilèges de la session en cours.

Toutes les versions du navigateur encore prises en charge sont touchées :

  • IE 9, 10 et 11 sur Windows Server 2008 à 2019 (importance « modérée » de par les protections intégrées)
  • IE 11 sur Windows 7, Windows 8.1 et Windows 10 (importance « critique »)

Sont également exposées les applications qui embarquent le moteur de script d’Internet Explorer. Entre autres, les applications Office, qu’on peut autoriser à afficher du contenu web.

La même avec Firefox

Microsoft dit avoir connaissance d’attaques ciblées « de portée limitée ».

Il recommande une mesure de contournement qui peut toutefois susciter des problèmes de compatibilité. En l’occurrence, restreindre l’accès à la bibliothèque jscript.dll, sur laquelle s’appuient certains sites (par défaut, IE utilise jscript9.dll, non concerné par la faille).

Pour les systèmes 32 bits, saisir, en mode administrateur dans l’invite de commandes :
takeown /f %windir%\system32\jscript.dll
cacls %windir\system32\jscript.dll /E /P everyone:N

Pour les systèmes 64 bits :
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

La semaine dernière, Mozilla a corrigé une faille du même type (CVE-2019-17026) dans Firefox.

L’entreprise chinoise créditée de la découverte avait évoqué une autre vulnérabilité similaire présente dans Internet Explorer. Peut-être s’agit-il de celle que Microsoft vient de révéler.

Ce n’est pas – et de loin – la première fois que le moteur de script d’IE est touché. Le dernier correctif que Microsoft lui ait apporté remonte au Patch Tuesday de novembre 2019. L’avant-dernier remonte à septembre, hors du cycle du Patch Tuesday.

Au dernier pointage de StatCounter, Internet Explorer reste installé sur 7,42 % du parc PC mondial (- 0,52 point sur l’année 2019). Net Applications, qui n’a pas la même méthodologie, lui attribue 1,57 % (- 0,98 point).

Logo © Microsoft

Share
Published by
Clément Bohic
Tags: Internet ExplorerMicrosoft
4 années ago

Recent Posts

Onepoint veut reprendre Atos : les grandes lignes de son offre

Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…

2 heures ago

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

22 heures ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

1 jour ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

1 jour ago

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

4 jours ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

4 jours ago