Microsoft publie un avis de sécurité pour alerter au sujet d'une vulnérabilité d'exécution de code à distance qui existe dans la manière dont le moteur de script traite des objets en mémoire dans Internet Explorer.
Pour cette vulnérabilité CVE-2020-0674, Microsoft indique être au courant d'un nombre limité d'attaques ciblées. Néanmoins, il n'y a pas encore de patch pour cette 0day d'IE activement exploitée. Le groupe de Redmond planche dessus et propose en attendant des mesures visant à réduire la vulnérabilité.
Security Advisory - Microsoft Guidance on Scripting Engine Memory Corruption - for more information please visit: https://t.co/C3W9Y6saTu
— Security Response (@msftsecresponse) 17 janvier 2020
Ces mesures de mitigation s'adressent aux administrateurs s'il y a " une indication d'un risque élevé. " Elles sont détaillées dans l'avis de sécurité et consistent à agir sur les droits en rapport avec la bibliothèque logicielle jscript.dll.
Microsoft précise que par défaut, IE11, IE10 et IE9 utilisent Jscript9.dll qui n'est pas impacté par la vulnérabilité. " La vulnérabilité n'affecte que certains sites web qui utilisent jscript comme moteur de script. "
" Dans un scénario d'attaque basé sur le Web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter la vulnérabilité via Internet Explorer et ensuite convaincre l'utilisateur de consulter le site web, par exemple en envoyant un email. " Le cas échéant, si un utilisateur est connecté en tant qu'administrateur, un attaquant est susceptible de prendre le contrôle du système.
La vulnérabilité CVE-2020-0674 a été découverte par des chercheurs en sécurité du Threat Analysis Group de Google et du groupe de cybersécurité chinois Qihoo 360. Ce dernier a récemment été à l'origine de la découverte d'une vulnérabilité touchant le compilateur JavaScript à la volée du moteur JavaScript SpiderMonkey de Firefox.
Mozilla avait rapidement corrigé la faille, soit le lendemain de la publication de Firefox 72. A priori, l'exploitation de la 0day d'IE ferait partie de la même campagne d'attaques que pour Firefox.
Internet Explorer 11 est inclus dans Windows 10 (mais heureusement plus le navigateur par défaut), sans compter une présence d'IE sur d'anciennes versions de Windows 7... dont le support a pris fin la semaine dernière.
D'après les chiffres de Net MarketShare et à l'heure du nouveau Microsoft Edge avec socle Chromium, la part d'utilisateurs d'Internet Explorer n'est pas négligeable et avoisine 7,5 %, ce qui n'est pas si éloigné de Firefox (9 %), contrairement à ce que l'on pourrait croire.
