Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Microsoft Edge, Microsoft Internet Explorer 9 à 11. Des utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire, obtenir des privilèges, contourner les restrictions de sécurité, usurper l'interface utilisateur.
Voici une liste complète des vulnérabilités:
- Une mauvaise manipulation du contenu mixte dans Microsoft Internet Explorer peut être exploitée à distance via un site web malveillant ou via un email contenant un fichier * .url spécialement conçu pour contourner les restrictions de sécurité;
- Un traitement incorrect d'un accès à des objets en mémoire dans Microsoft Edge peut être exploité à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
- Plusieurs vulnérabilités dans JavaScript Engine, qui sont liées à la gestion d'un accès à des objets en mémoire dans Microsoft Internet Explorer, peuvent être exploitées à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
- Plusieurs vulnérabilités liées à une gestion incorrecte des objets dans les moteurs JavaScript lors du rendu peuvent être exploitées à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" pour exécuter du code arbitraire;
- Une mauvaise manipulation du contenu mixte dans Microsoft Internet Explorer peut être exploitée à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
- Plusieurs vulnérabilités liées à une gestion incorrecte des objets dans la mémoire par les moteurs de scripts Microsoft de Microsoft Edge peuvent être exploitées à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" pour exécuter du code arbitraire;
- Une mauvaise analyse du code HTML et une mauvaise méthode de rendu de SmartScreen Filter peuvent être exploitées à distance via une URL spécialement conçue pour usurper l'interface utilisateur;
- Une gestion incorrecte de sandboxing dans Microsoft Edge peut être exploitée à distance pour échapper au sandbox AppContainer et obtenir des privilèges;
- Plusieurs vulnérabilités dans Chakra JavaScript Engine peuvent être exploitées à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" pour exécuter du code arbitraire;
- Une mauvaise gestion des objets en mémoire dans JavaScript Engine peut être exploitée à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" exécuter du code arbitraire;
- Un rendu incorrect d'une page sans domaine dans l'URL dans Microsoft Edge peut être exploité à distance en convainquant un utilisateur de visiter une page Web spécialement conçue pour obtenir des privilèges et effectuer des actions dans le contexte de la zone Intranet et accéder à certaines fonctions du navigateur. ne sont pas disponibles lors de la navigation dans le contexte de la zone Internet.
Détails techniques
Vulnerability (1) permet de charger le contenu HTTP, qui n'est pas sécurisé, dans des emplacements HTTS sécurisés.
Les vulnérabilités (9) dans Chakra JavaScript Engine sont liées au rendu dans Microsoft Edge.
Pour exploiter toutes les vulnérabilités décrites ci-dessus via une page Web spécialement conçue, un utilisateur malveillant devrait en quelque sorte convaincre l'utilisateur de le visiter.
Fiches de renseignement originales
- CVE-2017-0241
- CVE-2017-0240
- CVE-2017-0238
- CVE-2017-0236
- CVE-2017-0235
- CVE-2017-0234
- CVE-2017-0233
- CVE-2017-0231
- CVE-2017-0230
- CVE-2017-0229
- CVE-2017-0228
- CVE-2017-0227
- CVE-2017-0226
- CVE-2017-0224
- CVE-2017-0222
- CVE-2017-0221
- CVE-2017-0064
- CVE-2017-0223
Liste CVE
Liste KB
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com