Les chercheurs ont identifié une grave faille de sécurité dans le populaire navigateur Web Internet Explorer 11 de Microsoft. Découvert par la société de sécurité Kaspersky, le bug pourrait être exploité par des pirates informatiques pour exécuter du code à distance sur un appareil cible et obtenir des privilèges administratifs. La vulnérabilité est également de type Zero Day, ce qui signifie que les pirates ont pu l'exploiter avant que Microsoft puisse gérer un correctif et a reçu une note de gravité critique de 7.5/10, selon le Common Vulnerability Scoring System (CVSS).
Vulnérabilité d'Internet Explorer
Selon le rapport de Microsoft, le bug a été trouvé dans le moteur de script du navigateur et est lié à la manière dont les objets sont gérés en mémoire. « La vulnérabilité pourrait corrompre la mémoire afin qu'un attaquant puisse exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel », a expliqué la société. Cela pourrait être particulièrement problématique si un attaquant attaque un administrateur de périphérique, lui permettant d'installer des logiciels, de modifier ou de supprimer des données et de créer de nouveaux comptes avec des privilèges d'accès complets. À la fin du printemps, l’exploit a été utilisé de manière sauvage pour attaquer une entreprise en Corée du Sud, mais l’attaque a été atténuée par Kaspersky. On ne sait pas si le jour zéro a été utilisé de manière abusive lors d’autres attaques. « Lorsqu’il y a des attaques sauvages avec des vulnérabilités Zero Day, c’est toujours une excellente nouvelle pour la communauté de la cybersécurité. La détection réussie d'une telle vulnérabilité oblige immédiatement les fournisseurs à publier un correctif et les utilisateurs à installer toutes les mises à jour nécessaires », a déclaré Boris Larin, expert en sécurité chez Kaspersky. « Cette affaire inclut un exploit avec des capacités d'exécution de code à distance, ce qui est plus dangereux. Outre la possibilité d'affecter les dernières versions de Windows 10, l'attaque découverte est vraiment rare de nos jours. "Microsoft a fourni un correctif pour le bug d'Internet Explorer cette semaine, dans le cadre du Patch Tuesday d'août 2020. Pour se protéger contre les attaques, il est recommandé aux utilisateurs de mettre à jour immédiatement vers la dernière version.