Microsoft : Présence de vulnérabilités sur le moteur de script CharkaCore

Trois vulnérabilités ont été découvertes sur le produit CharkaCore de Microsoft, le moteur JavaScript qui alimente Microsoft Edge et Universal Windows Platform. Ces vulnérabilités permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.

Ces vulnérabilités sont dues à la manière dont le moteur de script ChakraCore traite les objets en mémoire. Un attaquant exploitant ces failles pourrait alors obtenir les mêmes droits que l'utilisateur actuel du navigateur ou exécuter du code en mémoire dans le contexte de l’utilisateur courant.

Ainsi, si l'utilisateur actuel a ouvert une session avec des privilèges administrateur, un attaquant pourrait prendre le contrôle du système affecté. Il pourrait alors installer des programmes, consulter, modifier ou supprimer des données, voire créer de nouveaux comptes administrateur.

Informations
+

Impact

  • Exécution du code arbitraire à distance.
  • Élévation de privilèges

Criticité

  • CVSS v3 : 6.3

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • ChakraCore

CVE

  • CVE-2017-11767
  • CVE-2017-11797
  • CVE-2017-11801

Recommandations
+

Correctifs

Microsoft a publié une mise à jour de sécurité qui corrige les vulnérabilités en modifiant la façon dont le moteur de script ChakraCore traite les objets en mémoire.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.