|
|
SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Internet Explorer Drag-and-Drop
14/02/2006 11H31
Référence Secunia : SA18787
Risque : Relativement faible. Niveau 2 sur 5. 
Impact : Accès au système
Lieu : A distance
Solutions :
Non corrigée
Produit :
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.x
Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3240
Description :
Matthew Murphy a rapporté une vulnérabilité dans Internet Explorer, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.
La vulnérabilité est causée du fait d'une erreur dans le timing des événements glisser-déposer (drag-and-drop) quand certains objets not derived from documents HTML (par ex. fichiers dans un répertoire view) are dragged. Cette "race condition" pourrait être exploitée to place fichiers arbitraires sur le système d'un utilisateur en poussant l'utilisateur à interagir avec un site web malicieux.
La vulnérabilité est relative à:
L'exploitation de ce problème requière une certaine quantité de timing et une interaction utilisateur.
Solutions :
Désactiver le support d'Active Scripting pour tous sauf des sites de confiance.
Set le kill bit on le contrôle Shell.Explorer.
Vulnérabilité découverte par :
Matthew Murphy
Référence :
Matthew Murphy posting on Full-Disclosure:
http://archives.neohapsis.com/archives/fulldisclosure/2006-02/0271.html
Réponse de Microsoft:
http://blogs.technet.com/msrc/archive/2006/02/13/419439.aspx
Autres références :
SA12321:
http://secunia.com/advisories/12321/
Veuillez noter : L'information, sur laquelle est basé ce bulletin Secunia, provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS