Risque
- Usurpation de l'identité d'un serveur Web ;
- Contournement des mécanismes de sécurité.
Systèmes affectés
- Microsoft Internet Explorer 5.01 ;
- Microsoft Internet Explorer 5.5.
Résumé
Deux vulnérabilités ont été découvertes dans Microsoft Internet Explorer.
La première vulnérabilité concerne la vérification des certificats X.509, la seconde concerne une mauvaise interprétation des URL.
Description
- Première vulnérabilité :
Une fonctionnalité d'Internet Explorer permet de vérifier la validité des certificats utilisés notamment pour les sessions HTTPS/SSL (certificats X.509) par le biais de CRL (Gestion de la liste des révocations).
Une vulnérabilité présente dans cette fonctionnalité permet à un concepteur de site Web mal intentionné de contourner certaines vérifications effectuées au travers des CRL dans le but de tromper les utilisateurs sur l'identité du site.
- Deuxième vulnérabilité :
Une vulnérabilité dans l'interprétation par Internet Explorer des URL permet de faire afficher dans la barre de navigation une adresse différente de celle visualisée. Un concepteur de pages Web mal intentionné peut ainsi tromper un utilisateur distant sur l'identité de son site.
Solution
Télécharger le correctif sur le site Microsoft :
http://www.microsoft.com/windows/ie/download/critical/q295106/default
Documentation
Bulletin Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
