Origine : bjCSIRT
Numéro : 2024/ALERTE/008
Date de l’alerte : 02/02/2024
APERÇU :
Une vulnérabilité critique de type « buffer overflow » a été identifiée dans Microsoft Edge, permettant à un attaquant d’exécuter du code à distance en incitant un utilisateur à visiter un site Web malveillant ou à ouvrir un document piégé.
DESCRIPTION :
Microsoft Edge est un navigateur web développé par Microsoft et disponible sur Windows, macOS, Linux, Android et iOS. Il est basé sur le projet open-source Chromium, ce qui lui confère une grande vitesse et une compatibilité élevée avec les sites web modernes.
Libellée sous le CVE-2024-21399, cette vulnérabilité est présente dans le composant V8 de Microsoft Edge qui est un moteur JavaScript open-source utilisé par Microsoft Edge et d’autres navigateurs web. La vulnérabilité se trouve dans la manière dont V8 gère les objets JavaScript de type « TypedArray« . Un attaquant peut créer un objet de type « TypedArray » malveillant qui peut corrompre la mémoire adjacente, ce qui permettrait à ce dernier d’exécuter du code arbitraire.
Cette vulnérabilité est classée critique et son score de sévérité est 8.3.
IMPACT :
- Exécution de code arbitraire à distance ;
- Fuite de données sensibles ;
- Élévation de privilèges.
SYSTÈMES AFFECTÉS :
Microsoft Edge versions 108.0.1462.49 et antérieures.
MESURES À PRENDRE :
Mettre à jour la version de Microsoft Edge vers la version 109.0.1463.47 ou ultérieure.
RÉFÉRENCES :
