Description
Plusieurs vulnérabilités sérieuses ont été trouvées dans Microsoft Internet Explorer et Microsoft Edge. Les utilisateurs malveillants peuvent exploiter ces vulnérabilités pour exécuter du code arbitraire et obtenir des informations sensibles.
Voici une liste complète des vulnérabilités:
- Plusieurs vulnérabilités liées à une mauvaise gestion des objets en mémoire peuvent être exploitées à distance en persuadant un utilisateur de visiter un site Web spécialement conçu pour exécuter du code arbitraire;
- Des restrictions incorrectes sur la manière dont les informations sont renvoyées à Microsoft Edge par des méthodes d'objet JavaScript peuvent être exploitées à distance en convainquant un utilisateur de visiter un site Web spécialement conçu pour obtenir des informations sensibles;
- Plusieurs vulnérabilités liées à une mauvaise gestion des objets en mémoire par les moteurs de script JavaScript peuvent être exploitées à distance en convainquant un utilisateur de visiter un site web spécialement conçu, en intégrant un contrôle ActiveX marqué «safe for initialization» dans une application ou via un Microsoft Office document qui héberge le moteur de rendu Edge pour exécuter du code arbitraire;
- Une gestion incorrecte des types de réponses filtrées spécifiques effectuées par l'API Fetch dans Microsoft Edge peut être exploitée à distance en convainquant un utilisateur de visiter un site Web spécialement conçu pour obtenir des informations sensibles.
- Une mauvaise gestion des objets en mémoire dans Microsoft Internet Explorer peut être exploitée à distance en persuadant un utilisateur de visiter un site Web spécialement conçu pour exécuter du code arbitraire;
- Une vérification incorrecte des scripts qui tentent de modifier les éléments HTML dans d'autres fenêtres du navigateur peut être exploitée à distance en persuadant un utilisateur de visiter un site Web spécialement conçu ou de charger une page spécialement conçue pour contourner les restrictions de sécurité;
- Une mauvaise manipulation des objets en mémoire peut être exploitée à distance en persuadant un utilisateur de visiter un site Web spécialement conçu pour obtenir des informations sensibles;
- Une application incorrecte des stratégies de même origine dans Microsoft Edge peut être exploitée à distance en persuadant un utilisateur de visiter un site Web spécialement conçu ou de charger une page spécialement conçue pour contourner les restrictions de sécurité;
- Une validation incorrecte des documents effectuée par le CSP (Content Security Policy) dans Microsoft Edge peut être exploitée à distance en convainquant un utilisateur de visiter un site Web spécialement conçu ou de charger une page spécialement conçue pour contourner les restrictions de sécurité.
Fiches de renseignement originales
- CVE-2017-8497
- CVE-2017-8498
- CVE-2017-8499
- CVE-2017-8504
- CVE-2017-8517
- CVE-2017-8519
- CVE-2017-8520
- CVE-2017-8521
- CVE-2017-8522
- CVE-2017-8523
- CVE-2017-8524
- CVE-2017-8529
- CVE-2017-8530
- CVE-2017-8547
- CVE-2017-8548
- CVE-2017-8549
- CVE-2017-8555
Liste CVE
Liste KB
- 4022725
- 4022724
- 4022727
- 4022726
- 4021558
- 4022719
- 4022714
- 4022715
- 4038782
- 4038783
- 4038792
- 4038788
- 4038799
- 4038781
- 4036586
- 4038777
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com
Vous avez trouvé une inexactitude dans la description de cette vulnérabilité ? Faites-le nous savoir !