CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

KLA11002
Plusieurs vulnérabilités dans Microsoft Edge et Microsoft Internet Explorer
Mis à jour: 07/05/2018
Date de la détection
?
05/09/2017
Sévérité
?
Critique
Description

Plusieurs vulnérabilités sérieuses ont été trouvées dans Microsoft Edge, Microsoft Internet Explorer 9 à 11. Des utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire, obtenir des privilèges, contourner les restrictions de sécurité, usurper l'interface utilisateur.

Voici une liste complète des vulnérabilités:

  1. Une mauvaise manipulation du contenu mixte dans Microsoft Internet Explorer peut être exploitée à distance via un site web malveillant ou via un email contenant un fichier * .url spécialement conçu pour contourner les restrictions de sécurité;
  2. Un traitement incorrect d'un accès à des objets en mémoire dans Microsoft Edge peut être exploité à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
  3. Plusieurs vulnérabilités dans JavaScript Engine, qui sont liées à la gestion d'un accès à des objets en mémoire dans Microsoft Internet Explorer, peuvent être exploitées à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
  4. Plusieurs vulnérabilités liées à une gestion incorrecte des objets dans les moteurs JavaScript lors du rendu peuvent être exploitées à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" pour exécuter du code arbitraire;
  5. Une mauvaise manipulation du contenu mixte dans Microsoft Internet Explorer peut être exploitée à distance via un site Web spécialement conçu pour exécuter du code arbitraire;
  6. Plusieurs vulnérabilités liées à une gestion incorrecte des objets dans la mémoire par les moteurs de scripts Microsoft de Microsoft Edge peuvent être exploitées à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" pour exécuter du code arbitraire;
  7. Une mauvaise analyse du code HTML et une mauvaise méthode de rendu de SmartScreen Filter peuvent être exploitées à distance via une URL spécialement conçue pour usurper l'interface utilisateur;
  8. Une gestion incorrecte de sandboxing dans Microsoft Edge peut être exploitée à distance pour échapper au sandbox AppContainer et obtenir des privilèges;
  9. Plusieurs vulnérabilités dans Chakra JavaScript Engine peuvent être exploitées à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" pour exécuter du code arbitraire;
  10. Une mauvaise gestion des objets en mémoire dans JavaScript Engine peut être exploitée à distance via des sites Web spécialement conçus et des documents Microsoft ou un contrôle ActiveX incorporé marqué comme "sûr pour l'initialisation" exécuter du code arbitraire;
  11. Un rendu incorrect d'une page sans domaine dans l'URL dans Microsoft Edge peut être exploité à distance en convainquant un utilisateur de visiter une page Web spécialement conçue pour obtenir des privilèges et effectuer des actions dans le contexte de la zone Intranet et accéder à certaines fonctions du navigateur. ne sont pas disponibles lors de la navigation dans le contexte de la zone Internet.

Détails techniques

Vulnerability (1) permet de charger le contenu HTTP, qui n'est pas sécurisé, dans des emplacements HTTS sécurisés.

Les vulnérabilités (9) dans Chakra JavaScript Engine sont liées au rendu dans Microsoft Edge.

Pour exploiter toutes les vulnérabilités décrites ci-dessus via une page Web spécialement conçue, un utilisateur malveillant devrait en quelque sorte convaincre l'utilisateur de le visiter.

Produits concernés

Microsoft Edge
Microsoft Internet Explorer versions 9 à 11

Solution

Installez les mises à jour nécessaires de la section de la base de connaissances, répertoriées dans votre Windows Update (Windows Update est généralement accessible depuis le panneau de configuration)

Fiches de renseignement originales

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223

Impacts
?
SUI 
[?]

ACE 
[?]

SB 
[?]

PE 
[?]
Produits liés
Microsoft Internet Explorer
Microsoft Edge
CVE-IDS
?

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064

Fiches de renseignement officielles de Microsoft
CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223
Liste KB

4016871
4019474
4018271
4019215
4019264
4019216
4034668
4034733
4034674
4034681
4034658
4034660


Lien vers l'original