ALERTE : Vulnérabilité des navigateurs Microsoft (27.02.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité des navigateurs Microsoft (27.02.17)

Messagede pierre » 27 02 2017

ALERTE : Vulnérabilité des navigateurs Microsoft (27.02.17)

Version initiale de l'alerte
27 février 2017

Version révisée de l'alerte
28 février 2017
15 février 2017 Cloture de l'alerte

Source
Rapport de Bogue de Project Zero du 23 février 2017
https://bugs.chromium.org/p/project-zer ... il?id=1011

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Internet Explorer 11 pour Windows 7
Internet Explorer 11 pour Windows 8.1
Internet Explorer 11 pour Windows 10
Internet Explorer 11 pour Windows Server 2012 et 2016
Microsoft Edge pour Windows 10

3 - Résumé
Une vulnérabilité a été découverte dans les navigateurs Web de la société Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

4 - Contournement provisoire
Une vulnérabilité présente dans les navigateurs Internet Explorer et Microsoft Edge permet à un attaquant d'exécuter du code arbitraire depuis une page internet malveillante.

Cette vulnérabilité exploite une faille de type "confusion de type" dans HandleColumnBreakOnColumnSpanningElement et peut être déclenchée en définissant des valeurs particulières pour les propriétés d'un objet tableau dans une page Web spécialement conçue.

On notera que cette vulnérabilité est atténuée par l'utilisation de la mesure de sécurité de Windows Control Flow Guard (CFG) au sein de l'application. Un attaquant souhaitant exploiter la vulnérabilité devra ainsi mettre en œuvre un contournement de la contre-mesure CFG.

Aucun correctif n'est prévu par Microsoft avant la publication mensuelle des correctifs de sécurité du mois de mars. Dans l'attente de la disponibilité d'un correctif de sécurité, nous vous recommandons d'installer et utiliser un autre navigateur Web (Firefox recommandé).

5 - Documentation
Rapport de Bogue de Project Zero du 23 février 2017
https://bugs.chromium.org/p/project-zer ... il?id=1011

Référence CVE CVE-2017-0037
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-0037

6 - Notes
  • Microsoft n'a pas produit de mises à jour pour son Patch Tuesday de février, qui n'a pas eu lieu.
  • Google Zero Day aurait découvert cette faille il y a 90 jours et, conformément à sa règle de conduite, aurait prévenu Microsoft à cette date, laissant à l'éditeur 90 jours pour produire un correctif, ce qui n'a pas été le cas.
  • Google s'acharne sur Microsoft. Une faille Zero Day a déjà été publiée il y a une semaine et est toujours en Alertes sécurité en cours (pas corrigée).
  • La preuve de concept (POC - proof of concept - démonstration de faisabilité) publiée par Google va permettre à tous les hackers de se jeter dessus, rendant les environ 25% d'internautes au monde utilisant IE ou Edge vulnérables.
  • C'est, encore une fois, la preuve qu'Edge n'est qu'une modification d'Internet Explorer, partageant le même code, n'en déplaise à Microsoft qui s'en défend à grands coups de brassage d'air et effets de manches.
Avatar de l’utilisateur
pierre
 
Messages: 21245
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité des navigateurs Microsoft (27.02.

Messagede pierre » 28 02 2017

Révision de l'Alerte le 28.02.2017
La liste des systèmes affectés s'allonge avec IE 11 pour Windows 7 :

Systèmes affectés

Internet Explorer 11 pour Windows 7
Internet Explorer 11 pour Windows 8.1
Internet Explorer 11 pour Windows 10
Internet Explorer 11 pour Windows Server 2012 et 2016
Microsoft Edge pour Windows 10


Le prochain Patch Tuesday sera le mardi 14 mars.
Avatar de l’utilisateur
pierre
 
Messages: 21245
Inscription: 20 05 2002
Localisation: Ici et maintenant



Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot] et 2 invités