Microsoft a récemment corrigé de nombreuses failles de type «jour zéro», notamment CVE-2018-8611 (corrigée ce mois-ci ), ainsi que celles de novembre, CVE-2018-8589 et CVE-2018-8589 .

À présent, il a publié un correctif d’urgence pour une vulnérabilité «zero-day» d’exécution de code à distance (RCE) dans le moteur de script JScript d’Internet Explorer affectant toutes les versions de Windows, y compris Windows 10.

Identifiée sous le nom de CVE-2018-8653 , la faille a été signalée par le chercheur du groupe d’analyse des menaces de Google, Clement Lecigne, et selon Microsoft, elle est exploitée dans des attaques ciblées.

La société n’a pas précisé quelles attaques avaient été lancées, mais le fait qu’elles soient exploitées explique pourquoi l’application du correctif de Microsoft devrait être une priorité.

Selon Microsoft:

Dans le cas d’une attaque Web, un attaquant pourrait héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site Web, en envoyant par exemple un courrier électronique.

L’exploitation dépend du niveau de privilège de l’utilisateur ciblé. Selon le dernier conseil de Microsoft, les administrateurs pourraient envisager de limiter l’accès à Jscript.dll s’ils ne prévoient pas implémenter le correctif prochainement.

Sur les systèmes serveur (Server 2008, Server 2012, Server 2016, Server 2019), l’indice de gravité passe de «critique» à «modéré» grâce à une restriction appelée Configuration de sécurité renforcée .

Windows 10 aussi

Faites défiler les conseils de Microsoft et vous remarquerez que le correctif est également proposé en tant que mise à jour de IE 11 pour Windows 10.

Mais attendez, Windows 10 n’a-t-il pas remplacé IE par le navigateur Edge qui utilise un moteur de script différent, Chakra?

En effet, mais pour des raisons de compatibilité ascendante, les composants IE restent une partie par défaut de toutes les versions de Windows (à l’exception possible de  Windows 10 , une version Windows personnalisable utilisée par les grandes entreprises).

Ainsi, même si vous n’utilisez pas IE 11 – ni aucun navigateur Microsoft -, des éléments de celui-ci se cachent sur tous les systèmes Windows, probablement au cas où des applications ou des sites Web plus anciens de Microsoft auraient besoin de les utiliser.

Le nouveau départ de Windows 10 est lancé ! C’est depuis toujours la philosophie de Microsoft relative aux systèmes d’exploitation: éviter les règles strictes et accorder la priorité à la compatibilité avec les versions antérieures.

Que faire

Appliquez le patch. Pour les utilisateurs de Windows 10 exécutant Windows 10 64 bits 1803 (avril 2018), la mise à jour est KB4483234 .

Les utilisateurs qui ont réussi à passer à la version beaucoup retardée de Windows 10 64 bits 1809 (octobre 2018) doivent rechercher KB4483235 .

Pour tous ceux qui utilisent encore Windows 10 649 1709 (octobre 2017), il s’agit de KB4483232 .

Pour les versions plus anciennes, Windows 8.1 pour les systèmes x64 et Windows 7 pour les systèmes x64, le Service Pack 1 est KB4483187 .