Windows 10 : Microsoft patche deux failles critiques dans Internet Explorer et Windows Defender
Microsoft a patch deux failles touchant Windows 10, ainsi que certaines variantes de Windows Server 2008, 2012, 2016, Windows 8.1 et 7. Ces failles assez graves impliquent Internet Explorer et Windows Defender : elles permettent d'obtenir des privilèges administrateur et d'exécuter du code arbitraire.
Microsoft corrige deux nouvelles faille de sécurité critiques qui touchent principalement des machines sous Windows 10, mais aussi plusieurs variantes de Windows Server (2008, 2012, 2016), Windows 8.1 et Windows 7. Ces failles, qui portent les numéros de code CVE-2019-1367 et CVE-2019-1255, touchent Internet Explorer 9, 10 et 11, ainsi que Windows Defender. Elles permettent de prendre le contrôle d'un système via une élévation des privilèges et exécution de code arbitraire et de lancer une attaque DDoS à partir de Windows Defender.
Windows 10 : mettez à jour votre PC !
La plus grave de ces deux failles est sans conteste celle qui touche Internet Explorer puisque c'est elle qui permet une élévation des privilèges – l'attaquant obtient en fait les mêmes privilèges que l'utilisateur courant – et une exécution de code arbitraire. Microsoft explique lui-même dans une note sur ces failles que “dans un scénario d'attaque basé sur le web, un attaquant pourrait héberger un site internet spécialement conçu pour exploiter cette vulnérabilité d'Internet Explorer puis convaincre un utilisateur de consulter le site internet, par exemple en lui envoyant un email”.
Lire également : Windows 10 – pourquoi les mises à jour sont-elles truffées de bugs ? Un ex-employé de Microsoft explique
Et Microsoft d'ajouter, peu rassurant, que ces deux failles sont en ce moment même exploitées par des pirates. Microsoft avait dû résoudre 79 failles de sécurité dans le patch de septembre – dont 12 étaient des failles critiques. La firme a estimé cette fois-ci que la gravité du problème exigeait un patch dédié. Microsoft propose de télécharger directement les patchs Internet Explorer et Windows Defender sur son site, ainsi qu'une méthode pour limiter les risques d'élévations de privilèges.
