Alerte sur une faille critique dans IE sur les documents Office

Plusieurs autorités ont lancé un avertissement sur une vulnérabilité critique dans Internet Explorer sur les documents Office. En l'absence de correctif, Microsoft a fourni des mesures de contournement.
Le CISA et le Cert français ont envoyé une alerte sur la découverte d’une vulnérabilité critique dans Internet Explorer (encore largement utilisé dans les entreprises). Microsoft a publié un bulletin de sécurité spécifique sur cette brèche, connue sous l’identifiant CVE-2021-40444. Elle a un niveau de gravité de 8,8 sur échelle de 10 et affecte Windows Server 2008 à 2019 et Windows 8.1 à 10. La faille a été signalée par plusieurs chercheurs de différentes firmes : Haifei Li d'Expmom, Dhanesh Kizhakkinan, Bryce Abdo et Genwei Jiang - tous trois de Mandiant, et Rick Cole de Microsoft Security Intelligence.
La faille tire parti du moteur de rendu MSHTML utilisé par Internet Explorer pour ouvrir et lire les documents Office. Un pirate peut créer un fichier bureautique malveillant, l’envoyer par e-mail, et si l’utilisateur clique sur le document, la faille permet à l’attaquant de prendre le contrôle du PC. « Un pirate pourrait créer un contrôle ActiveX malveillant utilisé dans un document Office hébergeant le moteur de rendu du navigateur », précise Microsoft.

Post a Comment

0 Comments
* Please Don't Spam Here. All the Comments are Reviewed by Admin.