CVE-2020-0674 est une vulnérabilité dans Internet Explorer découverte alors qu’il était utilisé par des attaquants pour exploiter du code. Les détails et les curiosités les plus importants de cette vulnérabilité sont :
Bien qu’Internet Explorer ne semble pas pertinent, il conserve une part de marché similaire à celle d’Edge, soit un peu plus de 1,5 %. Firefox en a un peu plus de 4 % et Chrome plus de 63 %. Certains médias prétendent qu’IE a une part de 7,44% et que cette vulnérabilité est plus pertinente de ce fait, mais ce n’est pas vrai, ce sont de vieilles données.
Il ne semble pas qu’ils vont sortir un patch hors cycle, nous devrons donc attendre le 11 février.
La solution proposée par Microsoft est de laisser la bibliothèque JavaScript inaccessible, ce qui fera beaucoup souffrir la fonctionnalité.
Bien que nous n’y croyions pas, Internet Explorer et cette bibliothèque particulière peuvent être utilisés pour des processus internes que nous ne connaissons pas. Rappelons-nous à quel point le navigateur est intégré dans le système. L’attaque peut se produire non seulement via un site web, mais aussi via un e-mail, un document Office ou un PDF associé à IE, car tous sont capables de traiter le JavaScript.
Il s’agit d’une exécution en code sans élévation des privilèges. Grâce à la configuration de sécurité renforcée, qui est facile à activer, l’attaque peut être grandement atténuée.
Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/