Les Technologies de l’information souhaitent vous informer que Microsoft a émis un avis de sécurité afin de mettre en garde les utilisateurs d'Office contre une vulnérabilité d'exécution de code à distance du composant MSHTML de Microsoft Windows (CVE-2021-40444).
Ce composant n'est pas un navigateur complet en soi, mais il constitue le « moteur Web » principal d'Internet Explorer. Il peut être utilisé seul pour créer des navigateurs ou des applications de type navigateur pour afficher des fichiers HTML.
Lorsqu’un utilisateur ouvre un fichier Office malicieux comprenant un contrôle ActiveX à partir d'Internet (par une pièce jointe provenant d’un courriel ou en téléchargeant un document à partir d'un lien Web contrôlé par des personnes malveillantes), le code ActiveX active le composant Windows MSHTML qui est utilisé pour afficher les pages Web. Par conséquent, le composant affecté exploite le bogue pour se connecter avec les mêmes droits d’accès que l’utilisateur et ainsi introduire du code malicieux sur le poste de ce dernier.
Veuillez noter que Microsoft n'a pas encore publié le correctif pour adresser cette vulnérabilité, mais affirme que les utilisateurs peuvent atténuer la menace de cette faille en désactivant ActiveX dans Internet Explorer s’ils n’ont pas besoin de celui-ci.
Pour toute question, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information par l’adresse de courriel « securite@umontreal.ca ».
Les Technologies de l’information vous remercient de votre attention.
Vue d'ensemble
Gestion des contenus