Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Internet Explorer 10 sur toutes les versions de Windows supportées
- Internet Explorer 11 sur toutes les versions de Windows supportées
- Internet Explorer 9 sur toutes les versions de Windows supportées
Résumé
Le 23 septembre 2019, Microsoft a publié un correctif pour Internet Explorer en dehors de son cycle de mise à jour mensuel. Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées.
La vulnérabilité CVE-2019-1367 permet à un attaquant d'exécuter du code arbitraire à distance avec le niveau de privilèges de l'utilisateur actuel.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
Dans son bulletin de sécurité, Microsoft propose quelques mesures de contournement (cf. section Documentation). Le CERT-FR recommande l'application du correctif dans les plus brefs délais. Si cela n'est pas possible, le CERT-FR recommande l'utilisation d'un navigateur alternatif dans sa version la plus récente.
Documentation
- Bulletin de sécurité Microsoft CVE-2019-1367 du 23 septembre 2019 https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2019-1367
- Bulletin de sécurité Microsoft du 23 septembre 2019 https://support.microsoft.com/fr-fr/help/4522007/cumulative-security-update-for-internet-explorer
- Avis CERT-FR CERTFR-2019-AVI-460 du 24 septembre 2019 https://cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-460/
- Référence CVE CVE-2019-1367 https://www.cve.org/CVERecord?id=CVE-2019-1367
