Microsoft publie une mise à jour de sécurité d'urgence pour Internet Explorer

• Catégorie: Internet Explorer

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Microsoft a publié une mise à jour de sécurité d'urgence hors bande pour Internet Explorer le 23 septembre 2019 pour toutes les versions prises en charge de Windows.

La mise à jour d'urgence est uniquement disponible sur le site Web du catalogue Microsoft Update au moment de la rédaction et non via Windows Update ou WSUS.

Certains articles de support fournissent peu d'informations. La description de la mise à jour de Windows 10 indique simplement '
Mises à jour pour améliorer la sécurité lors de l'utilisation d'Internet Explorer »sans entrer dans les détails. La page renvoie au Guide de mise à jour de sécurité qui, après quelques recherches, mène à la CVE de la vulnérabilité.

La page d'assistance pour la mise à jour cumulative pour Internet Explorer offre plus d'informations et un lien direct vers le CVE .

Il est dit:

Cette mise à jour de sécurité corrige une vulnérabilité dans Internet Explorer. Il existe une vulnérabilité d'exécution de code à distance dans la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. La vulnérabilité pourrait corrompre la mémoire de telle sorte qu'un attaquant pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le moteur de script traite les objets en mémoire.

Les mêmes informations sont également fournies sur la page CVE. Microsoft note qu'un attaquant pourrait prendre le contrôle du système attaqué si l'attaque réussit, ce qui permettrait à l'attaquant d'installer ou de supprimer des programmes, d'afficher, de modifier ou de supprimer des fichiers ou de créer de nouveaux comptes d'utilisateurs.

Le problème de sécurité est exploité activement selon Microsoft; un attaquant pourrait créer un site Web spécialement préparé pour exploiter le problème dans Internet Explorer.

Microsoft a publié une solution de contournement pour protéger les systèmes si les mises à jour publiées ne peuvent pas être installées à ce stade. La solution de contournement peut réduire la fonctionnalité «pour les composants ou fonctionnalités qui reposent sur jscript.dll».

Les commandes doivent être exécutées à partir d'une invite de commande élevée.

Solution de contournement pour les systèmes 32 bits:

• takeown / f% windir% system32 jscript.dll
• cacls% windir% system32 jscript.dll / E / P tout le monde: N

Solution de contournement pour les systèmes 64 bits:

• takeown / f% windir% syswow64 jscript.dll
• cacls% windir% syswow64 jscript.dll / E / P tout le monde: N
• takeown / f% windir% system32 jscript.dll
• cacls% windir% system32 jscript.dll / E / P tout le monde: N

La solution de contournement peut être annulée en exécutant les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges:

Annuler 32 bits:

• cacls% windir% system32 jscript.dll / E / R tout le monde

Annuler 64 bits

• cacls% windir% system32 jscript.dll / E / R tout le monde
• cacls% windir% syswow64 jscript.dll / E / R tout le monde

Liste des mises à jour corrigeant la vulnérabilité:

• Windows 10 version 1903: KB4522016
• Windows 10 version 1809 et Server 2019: KB4522015
• Windows 10 version 1803: KB4522014
• Windows 10 version 1709: KB4522012
• Windows 10 version 1703: KB4522011
• Windows 10 version 1607 et Server 2016: KB4522010
• Mise à jour cumulative d'IE pour les anciennes versions de Windows: KB4522007

Qu'en est-il des mises à jour Windows?

Microsoft n'a pas publié la mise à jour via Windows Update ou WSUS. Susan Bradley Remarques que la société pourrait publier la mise à jour le 24 septembre 2019 via Windows Update et WSUS, mais cela n'a pas été confirmé par Microsoft.

Il est un peu déroutant que Microsoft publie une mise à jour de sécurité hors bande qui résout un problème qui est exploité dans la nature, mais choisit de la publier en tant que mise à jour qui doit être téléchargée et installée uniquement manuellement.

Mots de clôture

Devriez-vous ou ne devriez pas installer la mise à jour tout de suite? Il s'agit d'une mise à jour de sécurité, mais elle n'est disponible que via le site Web du catalogue Microsoft Update au moment de la rédaction.

Je recommanderais toujours de l'installer mais vous devriez créer une sauvegarde du système, par exemple en utilisant Macrium Reflect ou Paragon Backup & Recover Gratuit , avant de le faire comme on ne sait jamais ces jours-ci, les mises à jour introduisent des effets secondaires indésirables ou des problèmes qui leur sont propres.

Maintenant, c'est à votre tour : installer ou attendre, quelle est votre position?