Accueil / Actualités / securite-informatique / Windows 10 et IE, une faille “critique” demande d’intervenir manuellement
Navigateur Internet Explorer de Microsoft
Navigateur Internet Explorer de Microsoft

Windows 10 et IE, une faille “critique” demande d’intervenir manuellement

Microsoft vient de confirmer que son navigateur Internet Explorer est victime d’une faille Zero-day. Elle est déjà exploitée par des pirates. En attendant la publication d’un patch, le géant propose une solution manuelle.

Cette vulnérabilité est exploitable sur toute les versions de Windows à savoir Windows 10, 8.1 et 7. Microsoft parle d’une faille « modérée » sur les appareils Windows Server et « critique» sur les versions clients de Windows.

Elle touche Internet Explorer 9, 10 et 11.  Son exploitation permet l’exécution de code à distance. Un pirate peut obtenir les mêmes droits que l’utilisateur connecté. Dans le cas d’un compte Administrateur les conséquences peuvent être dramatiques. Une prise de contrôle total du PC est possible.

L’attaque peut avoir lieu au travers d’un site Web spécialement conçu. A ce sujet Microsoft ajoute

« Il existe une vulnérabilité d’exécution de code à distance dans la façon dont le moteur de script gère les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. »

Windows 10 et Internet Explorer, solution manuelle

La firme précise qu’un correctif est en cour de développement.  En attendant sa publication il est fortement recommandé d’appliquer une solution manuelle. Elle propose de restreindre l’accès à JScript.dll. Il demande d’exécuter quelques lignes de commande dans une invite de commande

Pour un système 32-bit

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Pour un système 64-bit.

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Une fois que le correctif sera publié, il est possible d’annuler ces changements à l’aide des commandes suivante

Pour les système 32-bit

cacls %windir%\system32\jscript.dll /E /R everyone

Pour les systèmes 64-bit

cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone

Le prochain Patch Tuesday est programmé pour le 11 février prochain. Il n’est pas exclu que Microsoft publie son correctif avant cette date.

À propos Jérôme Gianoli

Journaliste issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

x

Check Also

Windows 10 de Microsoft

[MAJ] Windows 10 et CCleaner, des soucis apparaissent avec Firefox

Des utilisateurs sous Windows 10 sont victimes d’une défaillance de l’application « ...

Navigateur Microsoft Edge (Chromium)

Windows 10 et KB4559309, des soucis de performance apparaissent

La mise à jour Windows 10 KB4559309 est à l’origine de plusieurs ...

Utilitaire CCleaner et Windows 10

Windows 10 et CCleaner, des soucis apparaissent avec Firefox

Des utilisateurs sous Windows 10 sont victimes d’une défaillance de l’application « ...