Accueil / Actualités / securite-informatique / Windows 10 et IE, une faille “critique” demande d’intervenir manuellement
Navigateur Internet Explorer de Microsoft
Navigateur Internet Explorer de Microsoft

Windows 10 et IE, une faille “critique” demande d’intervenir manuellement

Microsoft vient de confirmer que son navigateur Internet Explorer est victime d’une faille Zero-day. Elle est déjà exploitée par des pirates. En attendant la publication d’un patch, le géant propose une solution manuelle.

Cette vulnérabilité est exploitable sur toute les versions de Windows à savoir Windows 10, 8.1 et 7. Microsoft parle d’une faille « modérée » sur les appareils Windows Server et « critique» sur les versions clients de Windows.

Elle touche Internet Explorer 9, 10 et 11.  Son exploitation permet l’exécution de code à distance. Un pirate peut obtenir les mêmes droits que l’utilisateur connecté. Dans le cas d’un compte Administrateur les conséquences peuvent être dramatiques. Une prise de contrôle total du PC est possible.

L’attaque peut avoir lieu au travers d’un site Web spécialement conçu. A ce sujet Microsoft ajoute

« Il existe une vulnérabilité d’exécution de code à distance dans la façon dont le moteur de script gère les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait corrompre la mémoire de telle manière qu’un attaquant pourrait exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. »

Windows 10 et Internet Explorer, solution manuelle

La firme précise qu’un correctif est en cour de développement.  En attendant sa publication il est fortement recommandé d’appliquer une solution manuelle. Elle propose de restreindre l’accès à JScript.dll. Il demande d’exécuter quelques lignes de commande dans une invite de commande

Pour un système 32-bit

takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Pour un système 64-bit.

takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N

Une fois que le correctif sera publié, il est possible d’annuler ces changements à l’aide des commandes suivante

Pour les système 32-bit

cacls %windir%\system32\jscript.dll /E /R everyone

Pour les systèmes 64-bit

cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone

Le prochain Patch Tuesday est programmé pour le 11 février prochain. Il n’est pas exclu que Microsoft publie son correctif avant cette date.

À propos Jérôme Gianoli

Journaliste issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

x

Check Also

Passage d'Internet Explorer à Microsoft Edge

Internet Explorer et les sites incompatibles, Microsoft Edge sera lancé automatiquement

Sur le terrain des navigateurs Internet, Microsoft mise tout sur son nouveau ...

Windows 10 - Insider Preview Build

Windows 10 Build 20241 est disponible avec quelques nouveautés, bilan

Une nouvelle construction de Windows 10 fait son apparition sur le canal ...

Windows 10 de Microsoft

Windows 10, KB4580386 est disponible en téléchargement, quoi de neuf ?

Microsoft vient de publier une nouvelle mise à jour cumulative Windows 10, ...