Origine : bjCSIRT
Numéro : 2024/ALERTE/066
Date de l’alerte : 17/10/2024
APERÇU :
Une vulnérabilité découverte dans Microsoft Windows MSHTML permettrait à un acteur malveillant d’usurper l’identité d’un site web légitime dans le but de voler des données sensibles.
DESCRIPTION :
Microsoft Windows MSHTML est un moteur de rendu HTML utilisé historiquement par Internet Explorer pour afficher les pages web. Bien que ce navigateur soit désormais obsolète, MSHTML reste intégré dans certains composants de Windows et peut être utilisé par d’autres applications pour afficher des contenus HTML.
Microsoft Windows MSHTML est affecté par une vulnérabilité libellée CVE-2024-43573. Cette vulnérabilité découle d’un défaut dans le moteur MSHTML qui ne gère pas correctement certaines balises HTML ou scripts incorporés dans des documents web. Cela permettrait donc à un acteur malveillant de manipuler la page affichée dans un navigateur compatible IE (ou en mode IE) grâce à un code malveillant afin d’afficher des informations trompeuses et faire croire aux utilisateurs que le contenu provient d’une source fiable. L’exploitation de cette vulnérabilité pourrait conduire à un vol de données sensibles.
Cette vulnérabilité est classée moyenne, avec un score de sévérité de 6.5 selon le CVSSV3.1 .
IMPACT :
- Atteinte à la confidentialité des données ;
- Vol de données sensibles
SYSTÈMES AFFECTÉS :
- Windows 10 pour systèmes 32 bits, x64 versions antérieures à 10.0.10240.20796
- Windows 10 Version 1607 pour systèmes 32 bits, x64 versions antérieures à 10.0.14393.7428
- Windows 10 Version 1809 pour systèmes 32 bits, x64 versions antérieures à 10.0.17763.6414
- Windows 10 Version 21H2 pour systèmes 32 bits, ARM64, x64 versions antérieures à 10.0.19044.5011
- Windows 10 Version 22H2 pour systèmes 32 bits, ARM64, x64 versions antérieures à 10.0.19045.5011
- Windows 11 version 21H2 pour systèmes ARM64, x64 antérieures à 10.0.22000.3260
- Windows 11 version 21H2 pour systèmes ARM64, x64 antérieures à 10.0.22000.3260
- Windows 11 Version 23H2 pour systèmes ARM64, x64 versions antérieures à 10.0.22631.4317
- Windows 11 Version 24H2 pour systèmes ARM64, x64 versions antérieures à 10.0.26100.2033
- Windows Server 2008 pour systèmes 32 bits, x64 Service Pack 2 versions antérieures à 6.0.6003.22918
- Windows Server 2008 R2 pour systèmes x64 Service Pack 1 versions antérieures à 6.1.7601.27366
- Windows Server 2012 (Server Core installation) versions antérieures à 6.2.9200.25118
- Windows Server 2012 R2 versions antérieures à 6.3.9600.22221
- Windows Server 2012 versions antérieures à 6.2.9200.25118
- Windows Server 2016 versions antérieures à 10.0.14393.7428
- Windows Server 2019 versions antérieures à 10.0.17763.6414
- Windows Server 2022 versions antérieures à 10.0.20348..2762
- Windows Server 2022, 23H2 Edition (Server Core installation) versions antérieures à 10.0.25398.1189.
MESURES À PRENDRE :
Appliquer les mises à jour disponibles sur le site de l’éditeur.
RÉFÉRENCES :