CERTA-2003-AVI-019

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités de Microsoft Internet Explorer permettent à un utilisateur mal intentionné d'exécuter à distance du code arbitraire.

Description

Deux nouvelles vulnérabilités ont été découvertes sur Internet Explorer concernant le modèle de sécurité entre les différents domaines Internet du navigateur.

La première vulnérabilité permet, en utilisant certaines boîtes de dialogue, d'obtenir des informations d'un autre domaine. Ceci est dû à un mauvais cloisonnement entre deux fenêtres de deux domaines différents ouvertes simultanément.

La deuxième vulnérabilité concerne la fonction showHelp(), utilisée pour afficher de l'aide au format HTML.

Ces deux vulnérabilités peuvent être exploitées par un utilisateur mal intentionné, par le biais d'un site web malicieux, pour exécuter du code arbitraire sur la machine cible sur laquelle est installé un navigateur Internet Explorer vulnérable.

Solution

Appliquer le correctif disponible sur le site de Microsoft (cf. Documentation).

Il s'agit d'un correctif cumulatif qui comprend toutes les mises à jour de sécurité pour les systèmes indiqués ci-dessus.

  • Microsoft Internet Explorer 5.01 ;
  • Microsoft Internet Explorer 5.5 ;
  • Microsoft Internet Explorer 6.0.

Les versions précédentes ne sont plus supportées.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eMicrosoft Internet Explorer 5.01 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Internet Explorer 5.5 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Internet Explorer 6.0.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eLes versions pr\u00e9c\u00e9dentes ne sont plus support\u00e9es.\u003c/P\u003e",
  "content": "## Description\n\nDeux nouvelles vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes sur Internet Explorer\nconcernant le mod\u00e8le de s\u00e9curit\u00e9 entre les diff\u00e9rents domaines Internet\ndu navigateur.  \n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 permet, en utilisant certaines bo\u00eetes de\ndialogue, d\u0027obtenir des informations d\u0027un autre domaine. Ceci est d\u00fb \u00e0\nun mauvais cloisonnement entre deux fen\u00eatres de deux domaines diff\u00e9rents\nouvertes simultan\u00e9ment.  \n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 concerne la fonction showHelp(), utilis\u00e9e pour\nafficher de l\u0027aide au format HTML.  \n\nCes deux vuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9es par un utilisateur mal\nintentionn\u00e9, par le biais d\u0027un site web malicieux, pour ex\u00e9cuter du code\narbitraire sur la machine cible sur laquelle est install\u00e9 un navigateur\nInternet Explorer vuln\u00e9rable.\n\n## Solution\n\nAppliquer le correctif disponible sur le site de Microsoft (cf.\nDocumentation).\n\nIl s\u0027agit d\u0027un correctif cumulatif qui comprend toutes les mises \u00e0 jour\nde s\u00e9curit\u00e9 pour les syst\u00e8mes indiqu\u00e9s ci-dessus.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2003-AVI-019",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-02-06T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s de Microsoft Internet Explorer permettent \u00e0 un\nutilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter \u00e0 distance du code arbitraire.\n",
  "title": "Vuln\u00e9rabilit\u00e9s de Microsoft Internet Explorer",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Microsoft MS03-004",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms03-004.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.