Vulnérabilité critique dans Microsoft Internet Explorer
Vulnérabilité critique dans Microsoft Internet Explorer
Première date de publication: 28 avril 2014
Les systèmes concernés
- Internet Explorer 11
- Internet Explorer 10
- Internet Explorer 9
- Internet Explorer 8
- Internet Explorer 7
- Internet Explorer 6
Aperçu
Une vulnérabilité non corrigée a été découverte dans Microsoft Internet Explorer. Elle permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur un système vulnérable.
Description
Sachez que cette vulnérabilité est exploitée à l’état brut. Bien qu’aucune faille d’Adobe Flash ne semble être en jeu ici, la vulnérabilité d’Internet Explorer est utilisée pour corrompre le contenu de Flash de manière à permettre de contourner ASLR(système de protection intégré dans Windows) par une fuite d’adresse mémoire. Ceci est rendu possible avec Internet Explorer car Flash s’exécute dans le même espace de processus que le navigateur. Notez que l’exploitation de la vulnérabilité sans l’utilisation de Flash peut être possible.
Le code d’exploitation est disponible publiquement pour cette vulnérabilité. Des détails supplémentaires peuvent être trouvés dans VU#222929
Impact
En incitant un utilisateur à consulter un document HTML spécialement conçu (par exemple une page Web, un email ou une pièce jointe), un attaquant peut exécuter du code arbitraire.
Solution
CIRT-BF recommande aux utilisateurs :
- d’installer et de configurer l’outil de sécurité Microsoft Enhanced Mitigation Experience Toolkit (EMET) afin de limiter les risques d’exploitation connus ou d’utiliser un navigateur web alternatif jusqu’à ce qu’une mise à jour officielle soit disponible.
- de ne pas ouvrir les emails provenant de personnes non fiables et des tentatives de redirection vers des sites web malveillants.
Références
- https://technet.microsoft.com/en-US/library/security/2963983
- http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer-versions-9-through-11-identified-in-targeted-attacks.html
Historique des révisions
- 28 avril 2014, première publication
[Télécharger]