Risque(s)

  • exécution de code arbitraire à distance

Systèmes affectés

  • Internet Explorer 11 pour Windows 7
  • Internet Explorer 11 pour Windows 8.1
  • Internet Explorer 11 pour Windows 10
  • Internet Explorer 11 pour Windows Server 2012 et 2016
  • Microsoft Edge pour Windows 10

Résumé

Une vulnérabilité a été découverte dans les navigateurs Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Cette vulnérabilité exploite une faille de type confusion de type et peut être déclenchée en définissant des valeurs particulières pour les propriétés d'un objet tableau dans une page Web spécialement conçue.

On notera que cette vulnérabilité est atténuée par l'utilisation de la mesure de sécurité de Windows Control Flow Guard (CFG) au sein de l'application. Un attaquant souhaitant exploiter la vulnérabilité devra ainsi mettre en oeuvre un contournement de la contre-mesure CFG.

À l'occasion de la mise à jour de sécurité du mois de mars 2017, cette vulnérabilité a été corrigée par Microsoft.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation