Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Internet Explorer : Vulnérabilités d'Exécution de Code

11/12/2007 21H18
Référence Secunia : SA28036 
Date de publication : 2007-12-11

Risque : Extrêmement Critique. Niveau 5 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x

Référence CVE :
CVE-2007-5347


Description :
Quelques vulnérabilités ont été identifiées dans Internet Explorer, qui pourraient être exploitées par des personnes malintentionnées pour compromettre un système vulnérable.

1) Une erreur existe dans la manière Internet Explorer traite errors en accédant objects, qui ont not été correctement initialisé ou qui ont été deleted.

2) Une autre erreur existe dans la manière Internet Explorer traite errors en accédant objects, qui ont not été correctement initialisé ou qui ont été deleted.

3) A third error existe dans la manière Internet Explorer traite errors en accédant objects, qui ont not été correctement initialisé ou qui ont été deleted.

4) Une erreur lors de l'affichage web pages contenant certain unexpected method calls à objets HTML pourrait être exploitée pour corrompre la mémoire.

NOTE : Cette vulnérabilité est rapportée activement exploitée.

L'exploitation de ces vulnérabilités pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable quand un utilisateur par ex. visite un site web malicieux.


Solutions :
Appliquer les correctifs.

Windows 2000 SP4 avec Internet Explorer 5.01 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B3BD16EA-5D69-4AE3-84B3-AB773052CEEB

Windows 2000 SP4 avec Internet Explorer 6 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BC8EDF05-262A-4D1D-B196-4FC1A844970C

Windows XP SP2 avec Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6E4EBAFC-34C3-4DC7-B712-152C611D3F0A

Windows XP Professionnel x64 Edition (optionnellement avec SP2) et Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F5A5AF23-30FB-4E47-94BD-3B05B55C92F2

Windows Serveur 2003 SP1/SP2 avec Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BF466060-A585-4C2E-A48D-70E080C3BBE7

Windows Serveur 2003 x64 Edition (optionnellement avec SP2) et Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=074697F2-18C8-4521-BBF7-1D0E7395D27D

Windows Serveur 2003 avec SP1/SP2 pour les systèmes basés sur Itanium et Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B3F390A6-0361-4553-B627-5E7AD6BF5055

Windows XP SP2 avec Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B15A6506-02DD-43C2-AEF4-E10C1C76EE97

Windows XP Professionnel x64 Edition (optionnellement avec SP2) et Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C092A6BB-8E62-4D90-BDB1-5F3A15968F75

Windows Serveur 2003 SP1/SP2 avec Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=34759C10-16A5-42A2-974D-9D532FB5A0A7

Windows Serveur 2003 x64 Edition (optionnellement avec SP2) et Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7DCCCE5A-7562-448B-A345-CF1CC758E35C

Windows Serveur 2003 avec SP1/SP2 pour les systèmes basés sur Itanium et Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8414F3FB-216A-4D46-B590-4C1F304DFF91

Windows Vista avec Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=26D303DA-BB2E-4555-96F1-BECB0E277341

Windows Vista x64 Edition avec Internet Explorer 7:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C5E88E0B-A4C2-4690-91D9-326800030A16


Vulnérabilité découverte par :

L'éditeur crédite:
1) Peter Vreugdenhil via iDefense VCP.
2) Sam Thomas via Zero Day Initiative.
3) Peter Vreugdenhil via Zero Day Initiative.
4) Rapporté comme un 0-day.

Référence :
MS07-069 (KB942615):
http://www.microsoft.com/technet/security/Bulletin/MS07-069.mspx




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.