Microsoft corrige une vulnérabilité d'exécution de code dans VBScript pour la deuxième fois

Une vulnérabilité d'exécution de code à distance dans le moteur VBScript de Windows n'a été que partiellement résolue; le correctif concerné a aggravé la situation en introduisant un autre bogue exploitable à distance dans le moteur VBScript. Le problème n'a ainsi été corrigée totalement que dans le patch du mois de juillet. 

Désignée par la CVE-2018-8174, la faille découverte il y a deux mois concernait une utilisation de mémoire après sa libération (Use after Free) dans le moteur de script. Un attaquant pourrait exploiter cette faille via une page Web piégée, lorsqu'elle est ouverte avec Internet Explorer. La faille pourrait également être exploitée via l'ouverture d'un document Office malveillant pour exécuter du code de manière arbitraire avec les droits de l'utilisateur actuel.

Le correctif du mois de mai avait ainsi introduit une nouvelle vulnérabilité permettant également de provoquer une exécution de code à distance dans le moteur. Il s'agit cette fois d'une faille de double libération de la mémoire permettant la corruption de cette dernière et permettant une exécution de code de manière arbitraire.

Microsoft a corrigé cette dernière faille (CVE-2018-8242) avec un nouveau correctif dans la mise à jour de sécurité de juillet 2018.