Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

Internet Explorer MHTML Gestionnaire de Protocole Cross-Domain : Divulgation d'Informations

12/08/2008 23H59
Référence Secunia : SA31415 
Date de publication : 2008-08-12

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x

Référence CVE :
CVE-2008-1448


Description :
Une vulnérabilité a été rapportée dans Internet Explorer, qui pourrait être exploitée par des personnes malintentionnées pour prendre connaissance d'informations sensibles.

La vulnérabilité est causée du fait d'une erreur dans le gestionnaire de protocole MHTML en interprétant des redirections d'URI MHTML. Cela pourrait être exploité pour passer outre les restrictions de domaine Internet Explorer en retournant du contenu MHTML via une page web spécialement conçue.

L'exploitation de ce problème permet de lire du contenu depuis un autre domaine Internet Explorer ou le système local

NOTE : La vulnérabilité est rapportée dans Outlook Express et Windows Mail par Microsoft vulnérabilité comme la fonctionnalité est distribuée par ces programmes. Dans tout les cas, la vulnérabilité est exploitable via Internet Explorer.
. .

Solutions :
Appliquer les correctifs.

-- Outlook Express 5.5 SP2 --

Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6257bfae-35f0-4c0e-b960-bca7aa6f86f7


-- Outlook Express 6 SP1 --

Windows 2000 SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=dab178f7-c282-41f4-acb1-a86e6aa4c91b


-- Microsoft Outlook Express 6 --

Windows XP SP2/SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=91469f2f-461c-4a67-8738-d42520427f6b

Windows XP Professionnel x64 Edition (optionnellement avec SP2):
http://www.microsoft.com/downloads/details.aspx?FamilyId=2220aece-79d2-426f-90ec-24a17470567a

Windows Serveur 2003 SP1/SP2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=30f2244a-f6fd-4fc1-a871-abf6958cb660

Windows Serveur 2003 x64 Edition (optionnellement avec SP2):
http://www.microsoft.com/downloads/details.aspx?FamilyId=3287f006-cbb2-4c6d-820c-32833e08035a

Windows Serveur 2003 avec SP1/SP2 pour les systèmes basés sur Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=c8570e40-355b-4a9b-933d-53ae021cbda5


-- Windows Mail --

Windows Vista (optionnellement avec SP1):
http://www.microsoft.com/downloads/details.aspx?FamilyId=3851bcf8-f971-4d38-b27f-97396854aac0

Windows Vista x64 Edition (optionnellement avec SP1):
http://www.microsoft.com/downloads/details.aspx?FamilyId=3bf7eb8a-b347-4661-be2d-682adc713769

Windows Serveur 2008 pour les systèmes 32-bits:
http://www.microsoft.com/downloads/details.aspx?FamilyId=dc3c4b63-acd3-4469-8d47-e0562d99ee65

Windows Serveur 2008 pour les systèmes x64:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5f973f54-2322-4b41-8c1a-3e712c0da8ae

Windows Serveur 2008 pour les systèmes basés sur Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9226cd85-1445-4976-a126-757c5d142ffd


Vulnérabilité découverte par :

L'éditeur crédite Jorge Luis Alvarez Medina, Core Security Technologies.

Référence :
MS08-048 (KB951066):
http://www.microsoft.com/technet/security/Bulletin/MS08-048.mspx




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.