Microsoft vient de publier un bulletin de sécurité qui prévient les utilisateurs de l’existence d’une faille zero-day dans Internet Explorer. La vulnérabilité CVE-2021-40444 impacte le moteur MSHTML du navigateur, connu sous le nom de Trident, et permet à un pirate d’exécuter du code à distance.
A priori, le problème semble bénin, étant donné qu’Internet Explorer n’est quasiment plus utilisé et a cédé la place à Edge dans Windows 10. Mais il existe toujours, et son moteur sert encore dans les applications Office. Ainsi, un pirate pourrait concevoir un contrôle ActiveX malveillant qui serait utilisé dans un document Word, Excel ou Powerpoint. Toutefois, il faudrait que l’utilisateur ouvre le document pour déclencher l’attaque.
Microsoft indique que son antivirus Defender a été mis à jour pour assurer une protection contre ce code malveillant. En outre, les applications d’Office 365 ouvrent les documents à partir d’Internet Explorer en mode de vue protégée, ce qui limite les risques de virus ou de malware.
A découvrir aussi en vidéo :
Enfin, l’éditeur permet de désactiver les contrôles ActiveX dans Internet Explorer, mais l’opération nécessite d’effectuer des modifications dans la base de registre.
Internet Explorer sera désactivé de Windows 10 en juin 2022, mais Microsoft n’a pas précisé si son moteur MSHTML sera conservé ou remplacé.
Source : Microsoft
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
