|
|
SECURinfos.INFO - Bulletins de sécurité informatique, Alertes et Protection
Internet Explorer URL Compression : Buffer Overflow
29/08/2006 21H22
Référence Secunia : SA21557
Date de publication : 2006-08-23
Dernière mise à jour : 2006-08-27
Risque : Critique. Niveau 4 sur 5. 
Impact : Accès au système
Lieu : A distance
Solutions : Correctif de l'éditeur
Produit :
Microsoft Internet Explorer 6.x
Référence CVE :
CVE-2006-3869
Description :
Une vulnérabilité a été rapportée dans Internet Explorer, qui pourrait être exploitée par des personnes malintentionnées pour compromettre un système vulnérable.
La vulnérabilité est causée du fait d'une erreur de limites dans la fonction "CMimeFt::Start()" dans urlmon.dll lors du traitement d'URLs sur un site web en utilisant HTTP 1.1 et compression. Cela pourrait être exploité pour causer un "heap overflow" via une URL très longue (plus de 260 octets).
L'exploitation de ce problème permet l'exécution de commandes arbitraires quand un utilisateur est par ex. poussé à visiter un site web malicieux.
La vulnérabilité affecte Internet Explorer 6 SP1 sur Windows 2000 et Windows XP SP1 et a été introduite par le MS06-042 des correctifs.
Solutions :
Appliquer le correctif.
Internet Explorer 6 SP1 sur Windows 2000 SP4 ou Windows XP SP1:
http://www.microsoft.com/downloads/de...=C335CAA9-B9E6-403D-A039-2D3DCA723653
Vulnérabilité découverte par :
Découvert indépendamment par:
* Dejan Kovacevic, Bold Internet Solutions.
* Derek Soeder, eEye Digital Security.
* Hu Qianwei, NSFocus Security Team.
Historique :
2006-08-23: Informations additionnelles ajoutées.
2006-08-25: Détails ajoutés et section "Solution" mise à jour.
2006-08-27: Mise à jour du lien vers le bulletin de l'éditeur.
Référence :
MS06-042 (KB918899):
http://www.microsoft.com/technet/security/bulletin/MS06-042.mspx
Microsoft:
http://www.microsoft.com/technet/security/advisory/923762.mspx
http://support.microsoft.com/kb/923762/
http://blogs.technet.com/msrc/archive/2006/08/24/449860.aspx
eEye Digital Security:
http://research.eeye.com/html/advisories/published/AD20060824.html
NSFocus Security Team:
http://www.nsfocus.com/english/homepage/research/0608.htm
Autres références :
US-CERT VU#821156:
http://www.kb.cert.org/vuls/id/821156
Veuillez noter : L'information sur laquelle est basé ce bulletin Secunia provient d'un tiers sans mention du contraire.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
Derniers bulletins de sécurité informatique
Bulletins de sécurité informatiques relatifs
|
|
|
SECURINFOS