Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Internet Explorer 11 pour Windows 10
- Internet Explorer 11 pour Windows 7
- Internet Explorer 11 pour Windows 8.1
- Internet Explorer 11 pour Windows Server 2012 et 2016
- Microsoft Edge pour Windows 10
Résumé
Une vulnérabilité a été découverte dans les navigateurs Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Cette vulnérabilité exploite une faille de type confusion de type et peut être déclenchée en définissant des valeurs particulières pour les propriétés d'un objet tableau dans une page Web spécialement conçue.
On notera que cette vulnérabilité est atténuée par l'utilisation de la mesure de sécurité de Windows Control Flow Guard (CFG) au sein de l'application. Un attaquant souhaitant exploiter la vulnérabilité devra ainsi mettre en oeuvre un contournement de la contre-mesure CFG.
À l'occasion de la mise à jour de sécurité du mois de mars 2017, cette vulnérabilité a été corrigée par Microsoft.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Rapport de Bogue de Project Zero du 23 février 2017 https://bugs.chromium.org/p/project-zero/issues/detail?id=1011
- Avis CERT-FR CERTFR-2017-AVI-079 Multiples vulnérabilités dans Microsoft Internet Explorer http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-079
- Avis CERT-FR CERTFR-2017-AVI-080 Multiples vulnérabilités dans Microsoft Edge http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-080
- Bulletin de sécurité Microsoft MS17-006 du 14 mars 2017 https://technet.microsoft.com/fr-fr/library/security/MS17-006
- Référence CVE CVE-2017-0037 https://www.cve.org/CVERecord?id=CVE-2017-0037
