CERTA-2009-ALE-020
Vulnerability from certfr_alerte

Une vulnérabilité dans Internet Explorer versions 6 et 7 permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité non corrigée existe dans les versions 6 et 7 d'Internet Explorer et permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Le code permettant l'exploitation de cette vulnérabilité est disponible sur l'internet.

Contournement provisoire

Dans l'attente d'un correctif de l'éditeur, le CERTA recommande les mesures suivantes :

  • utiliser un navigateur alternatif ;
  • désactiver l'exécution du JavaScript par défaut et ne l'activer qu'au cas par cas sur des sites de confiance ;

Le CERTA rappelle également qu'il est fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits restreints. De plus, l'activation de DEP (Data Execution Prevention) peut empêcher certaines exploitations de la vulnérabilité (cf. bulletin de l'éditeur).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
N/A N/A Internet Explorer 7.
N/A N/A Internet Explorer 6 ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Internet Explorer 7.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Internet Explorer 6 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2009-12-09",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 non corrig\u00e9e existe dans les versions 6 et 7\nd\u0027Internet Explorer et permet \u00e0 une personne malintentionn\u00e9e d\u0027ex\u00e9cuter\ndu code arbitraire \u00e0 distance. Le code permettant l\u0027exploitation de\ncette vuln\u00e9rabilit\u00e9 est disponible sur l\u0027internet.\n\n## Contournement provisoire\n\nDans l\u0027attente d\u0027un correctif de l\u0027\u00e9diteur, le CERTA recommande les\nmesures suivantes :\n\n-   utiliser un navigateur alternatif ;\n-   d\u00e9sactiver l\u0027ex\u00e9cution du JavaScript par d\u00e9faut et ne l\u0027activer\n    qu\u0027au cas par cas sur des sites de confiance ;\n\nLe CERTA rappelle \u00e9galement qu\u0027il est fortement conseill\u00e9 de naviguer\nsur l\u0027Internet avec un compte utilisateur aux droits restreints. De\nplus, l\u0027activation de DEP (Data Execution Prevention) peut emp\u00eacher\ncertaines exploitations de la vuln\u00e9rabilit\u00e9 (cf. bulletin de l\u0027\u00e9diteur).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2009-3672",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-3672"
    }
  ],
  "initial_release_date": "2009-11-21T00:00:00",
  "last_revision_date": "2009-12-09T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS09-072 du 08 d\u00e9cembre 2009    :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS09-072.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS09-072 du 08 d\u00e9cembre 2009    :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS09-072.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 du CERTA CERTA-2009-AVI-538 du 09    d\u00e9cembre 2009:",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-538"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft #977981 du 23 novembre 2009    :",
      "url": "http://www.microsoft.com/technet/security/advisory/977981.mspx"
    }
  ],
  "reference": "CERTA-2009-ALE-020",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2009-11-21T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 de Microsoft et mise \u00e0 jour du contournement.",
      "revision_date": "2009-11-24T00:00:00.000000"
    },
    {
      "description": "ajout de la r\u00e9f\u00e9rence CVE.",
      "revision_date": "2009-11-27T00:00:00.000000"
    },
    {
      "description": "ajout de la solution.",
      "revision_date": "2009-12-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans Internet Explorer versions 6 et 7 permet \u00e0 une\npersonne malintentionn\u00e9e d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Internet Explorer",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.