CERTA : Multiples vulnérabilités dans Microsoft Internet Explorer
décembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* exécution de code arbitraire ;
* contournement de la politique de sécurité.
2 Systèmes affectés
* Microsoft Internet Explorer 5.01 ;
* Microsoft Internet Explorer 6 ;
* Microsoft Internet Explorer 6 Service Pack 1 ;
* Microsoft Internet Explorer 7.
Il s’agit des versions courantes du navigateur fournies par défaut avec le
système Windows.
3 Résumé
Plusieurs vulnérabilités ont été identifiées dans le navigateur Internet
Explorer. Certaines d’entre elles peuvent être exploitées par le biais de pages
Web spécialement construites, afin d’exécuter du code sur le système de
l’utilisateur naviguant sur la page.
4 Description
Plusieurs vulnérabilités ont été identifiées dans le navigateur Internet
Explorer.
* Internet Explorer ne manipulerait pas correctement des objets supprimés ou
initialisés de manière incorrecte. Ces vulnérabilités peuvent être
exploitées par l’exécution de contrôles ActiveX ou Active Scripting
malveillants, au cours de la navigation sur une page Web ou à l’ouverture
d’un courriel au format HTML.
* Une autre vulnérabilité concerne certains appels de méthode vers des objets
HTML (DHTML). Elle provoquerait alors une corruption de la mémoire, et
potentiellement l’exécution de code arbitraire sur le système vulnérable.
5 Solution
Se référer au bulletin de sécurité MS07-069 de Microsoft pour l’obtention des
correctifs (cf. section Documentation).
6 Documentation
* Bulletin de sécurité Microsoft MS07-069 du 11 décembre 2007 :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-069.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-069.mspx
* Référence CVE CVE-2007-3902 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3902
* Référence CVE CVE-2007-3903 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3903
* Référence CVE CVE-2007-5344 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5344
* Référence CVE CVE-2007-5347 :