Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer 9
Résumé
Le 19 décembre 2018, Microsoft a publié un correctif de sécurité hors du cycle de correctif mensuel de l'entreprise. La vulnérabilité corrigée affecte le moteur de script utilisé par le navigateur Internet Explorer. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
D'après les informations fournies par l'éditeur, la vulnérabilité a été observée comme étant exploitée.
Le CERT-FR recommande l'application des correctifs de sécurité de l'éditeur dans les plus brefs délais (cf. section Documentation).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
Des solutions de contournement provisoires sont proposées par Microsoft. Le détail de ces mesures est disponible dans le bulletin de sécurité de l'éditeur (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft CVE-2018-8653 du 19 décembre 2018 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653
- Avis CERT-FR CERTFR-2018-AVI-606 Vulnérabilité dans Microsoft Internet Explorer https://cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-606/
- Référence CVE CVE-2018-8653 https://www.cve.org/CVERecord?id=CVE-2018-8653