Cela fait quelques temps déjà que Microsoft lui-même déconseille d’utiliser Internet Explorer, son navigateur devenu obsolète. Une faille de sécurité majeure récemment découverte, permettant de prendre le contrôle complet de la machine, donne raison à l’éditeur.
Une faille découverte par Clément Lecigne, spécialiste en cybersécurité
au sein du Threat Analysis Group de Google, permettrait de prendre le contrôle total d’un ordinateur. Cette vulnérabilité, qui touche les versions 9 à 11 d’Internet Explorer, est tellement critique que Microsoft a déployé en urgence une mise à jour de sécurité, en dehors du cycle normal de publication.
Une faille critique dans Internet Explorer
Le billet de sécurité CVE-2019-1367 publié par Microsoft décrit cette faille comme une vulnérabilité au niveau du moteur de script du navigateur. Cette vulnérabilité permet d’altérer la mémoire du moteur de script, et autorise par conséquent un attaquant à exécuter du code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur a ouvert une session avec des privilèges d’administrateur, il est possible pour un attaquant de prendre le contrôle d’un système affecté.
Microsoft a donc publié une mise à jour pour Internet Explorer 9, 10 et 11 sur les systèmes Windows 32 et 64 bits allant de Windows 7 à Windows 10, et de Windows Server 2008 à Windows Server 2019. Cette mise à jour (KB 4522007) n’est toutefois pas encore disponible via Windows Update : il convient de la télécharger manuellement via le Catalogue Microsoft Update. Il est également possible de restreindre manuellement l’accès à JScript.dll, en suivant la manipulation décrite sur la page dédiée du site de l’éditeur.
Une autre solution est de définitivement se séparer d’Internet Explorer. Le navigateur est considéré comme obsolète par Microsoft lui-même, l’éditeur recommandant d’utiliser Edge pour le remplacer. Vous pouvez également utiliser un autre navigateur comme Chrome, Opéra ou Firefox.