Deux vulnérabilités découvertes dans des logiciels Microsoft : Windows Defender et Internet explorer

Microsoft a publié des correctifs de sécurité corrigeant deux vulnérabilités critiques dans  Internet Explorer et à Windows Defender. L'exploitation de ces vulnérabilités permettent à un attaquant d’exécuter du code à distance sur la machine de la victime ou à un attaquant ayant un accès local à la machine d’élever ses privilèges.

CVE-2019-1367 [CVSS 7.5] : À cause d’une corruption de mémoire dans le moteur de script d’Internet Explorer, un attaquant peut exécuter du code sur la machine d’un utilisateur lorsque ce dernier visite un site malveillant. Une exploitation réussie de la vulnérabilité permettrait d’exécuter le code malveillant avec les privilèges de l’utilisateur. La vulnérabilité peut être exploitée à distance lorsque l’utilisateur visite un site malveillant.

CVE-2019-1255 [CVSS 7.5] : Une mauvaise manipulation des fichiers par Windows Defender peut permettre à un attaquant local, sans privilèges spécifiques, de modifier les droits d’accès à un fichier sur le système. En exploitant cette vulnérabilité, il peut s’autoriser l’accès à des fichiers sensibles ou empêcher l’exécution d’applications par un utilisateur donné. La vulnérabilité ne peut pas être exploitée à distance.