Microsoft a publié une mise à jour de sécurité pour Internet Explorer le 19 décembre 2018 qui corrige un problème de sécurité dans le moteur de script.
Microsoft décrit le problème de la manière suivante :
Il existe une vulnérabilité d'exécution de code à distance dans la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer.
L'émission est déposée sous CVE-2018-8653. La page Avis de sécurité pour CVE-2018-8653 offre des détails supplémentaires. La vulnérabilité pourrait être utilisée par des attaquants pour exécuter du code arbitraire dans le contexte de l'utilisateur si elle est exploitée avec succès.
Si un utilisateur a des droits d'administration, l'attaquant obtiendra également ces droits ; cela permettrait à l'attaquant d'installer et d'exécuter des logiciels, et de modifier les paramètres du système, entre autres.
Il apparaît, d'après la description, qu'il suffit d'ouvrir un site Web spécialement préparé dans Internet Explorer pour être infecté.Woody le pense aussi.
Le problème de sécurité affecte Internet Explorer 11, 10 et 9 sur toutes les versions client et serveur prises en charge de Windows. En particulier, il résout le problème sur les appareils exécutant Windows 7, Windows 8.1 et Windows 10, et Windows Server 2008 et 2012, Windows Server 2012 R2, Windows Server 2016 et Windows Server 2019.
La mise à jour est disponible sous forme de mise à jour cumulative pour Internet Explorer et Windows. Microsoft a déjà activé la mise à jour sur Windows Update, mais elle peut également être téléchargée à partir du site Web du catalogue Microsoft Update.
Lien vers le site Web du catalogue Microsoft Update :
- Windows 7, 8.1, Windows Server 2008 et 2008 R2, Windows Server 2012, 2012 R2 et Windows Embedded : KB4483187
- Windows 10 version 1793 : KB4483230
- Windows 10 version 1803 : KB4483234
- Windows 10 version 1809 : KB4483235
Notez qu'il n'est pas recommandé d'exécuter une "vérification des mises à jour" sur Windows Update car cela peut fournir des mises à jour que vous ne souhaitez pas installer sur l'appareil ; cela peut être une nouvelle mise à jour de fonctionnalité pour Windows 10.
La mise à jour de sécurité cumulative d'Internet Explorer a un problème connu qui affecte les appareils exécutant Windows 8.1 ou Windows Server 2012 R2. La boîte de dialogue "À propos d'Internet Explorer 11" affiche KB4470199 du 11 décembre 2018 et non la nouvelle mise à jour.
Microsoft note que les utilisateurs peuvent confirmer que le système est corrigé en vérifiant que jscript.dll a la version 5.8.9600.19230. Le fichier se trouve sous C:\Windows\System32\jscript.dll