|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Internet Explorer : Vulnérabilités Diverses
22/01/2007 02H46
Référence Secunia : SA12806
Date de publication : 2004-10-12
Dernière mise à jour : 2005-01-25
Risque : Extrêmement Critique. Niveau 5 sur 5. 
Impact : Spoofing, Exposition de données sensibles, Accès au système
Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
http://www.ngssoftware.com/advisories/heartbeatfull.txt
http://www.ngssoftware.com/advisories/msinsengfull.txt
http://secunia.com/advisories/12048/
http://secunia.com/advisories/12321/
http://www.kb.cert.org/vuls/id/637760
http://www.kb.cert.org/vuls/id/673134
Microsoft Windows Vector Markup Language Vulnerabilities
Internet Explorer Memory Corruption Weakness
Internet Explorer Plusieurs Vulnérabilités
Internet Explorer Plusieurs Vulnérabilités
Internet Explorer URL Compression Buffer Overflow
Internet Explorer Plusieurs Vulnérabilités
Internet Explorer Script Error Handling Memory Corruption Vulnerability
Microsoft Internet Explorer Plusieurs Vulnérabilités
Internet Explorer File Upload Form Keystroke Event Cancel Vulnerability
Internet Explorer Traitement d'Exception Memory Corruption Vulnerability
Référence CVE :
CVE-2004-0978
Description :
Plusieurs vulnérabilités ont été identifiées dans Internet Explorer, où la plus critique pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.
1) Une erreur de limitation dans le traitement de CSS (Cascading Style Sheets) pourrait être exploitée pour causer un buffer overflow via une page web malicieuse ou courriel HTML message.
L'exploitation de ce problème permet l'exécution de commandes arbitraires.
2) Une erreur dans le cross-domain security model dans l'interprétation de navigation methods par functions avec similaire names pourrait être exploitée pour exécuter un code de script arbitraire dans la zone de sécurité "Machine Locale" ou access information dans a different domaine.
Solutions :
Appliquer les correctifs.
Internet Explorer 5.01 SP3 sur Windows 2000 SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D8E8E97-4946-4994-924B-1FB1DC1881BA&displaylang=en
Internet Explorer 5.01 SP4 sur Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=72DBE239-AF0A-42B5-B88C-A00371F6EC81&displaylang=en
Internet Explorer 5.5 SP2 sur Microsoft Windows Me:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BE27F77C-3C2D-45F1-86DF-2B71799DA169&displaylang=en
Internet Explorer 6 sur Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyId=A89CFBE8-C299-415D-A9D6-7CC6429C547D&displaylang=en
Internet Explorer 6 SP1 sur Windows 2000 SP3/SP4, Windows XP, ou Windows XP SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7C1404E6-F5D4-4FED-9573-DD83F2DFF074&displaylang=en
Internet Explorer 6 SP1 sur Windows NT Server 4.0 SP6a, Windows NT Server 4.0 TSE SP6, Windows 98 et SE, ou Windows Me:
http://www.microsoft.com/downloads/details.aspx?FamilyId=DE8D94C4-7F58-4CE7-B8BD-51CFD795B03E&displaylang=en
Internet Explorer 6 pour Windows XP SP1 (64-Bit Edition):
http://www.microsoft.com/downloads/details.aspx?FamilyId=C05103E8-4402-4D54-BA03-FBBC24142E4D&displaylang=en
Internet Explorer 6 pour Windows Serveur 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=19E69E5F-9C98-49AD-A61F-4F82A4014412&displaylang=en
Internet Explorer 6 pour Windows Serveur 2003 64-Bit Edition et Windows XP 64-Bit Edition La version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=566C2A05-2513-4E30-A3EA-87D4BF7F9730&displaylang=en
Internet Explorer 6 pour Windows XP SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CF47B515-3F51-43E1-9246-2C2264C49E2E&displaylang=en
Vulnérabilité découverte par :
3) Greg Jones of KPMG UK et Peter Winter-Smith of Next Generation Security Software.
8) Mitja Kolsek, ACROS Security.
9) John Heasman, Next Generation Security Software.
Historique :
2004-10-13: Davantage d'informations ajoutées.
2004-10-14: Davantage d'informations ajoutées.
2004-10-20: Ajout d'un lien à une note de vulnérabilité du US-CERT.
2004-12-07: Référence CVE ajoutée.
2005-01-20: Added details à propos de Heartbeat.ocx vulnérabilité.
2005-01-25: Ajout d'informations additionnelles à propos de vulnérabilité #3.
Référence :
MS04-038 (KB834707):
http://www.microsoft.com/technet/security/bulletin/ms04-038.mspx
ACROS Security:
http://www.acrossecurity.com/aspr/ASPR-2004-10-13-1-PUB.txt
NGS
Produit :
http://www.ngssoftware.com/advisories/heartbeatfull.txt
http://www.ngssoftware.com/advisories/msinsengfull.txt
Autres références :
SA12048:
http://secunia.com/advisories/12048/
SA12321:
http://secunia.com/advisories/12321/
US-CERT VU#637760:
http://www.kb.cert.org/vuls/id/637760
US-CERT VU#673134:
http://www.kb.cert.org/vuls/id/673134
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS