Risque
Divulgation de données présentes sur le système.
Systèmes affectés
- Tous les systèmes Microsoft Windows possédant une version quelconque d'Internet Explorer.
- Versions Outlook ou Outlook Express antérieures aux versions Outlook 2002 ou Outlook Express 6.
Résumé
Un administrateur de site web mal intentionné peut accéder à des données présentes sur le système de ses victimes au moyen d'un script Visual Basic.
Description
Normalement lors d'une navigation avec Internet Explorer, un script présent dans une page web ne peut pas ouvrir de frame dont la source provient d'un autre site web.
Une vulnérabilité de la gestion des VBScripts (Scripts en Visual Basic) permet à un administrateur de site web mal intentionné d'ouvrir une frame contenant des pages situées dans un autre site web par le biais d'une page web habilement construite à partir de scripts Visual Basic.
L'exploitation de cette vulnérabilité permet à cet administrateur d'obtenir des informations personnelles sur ses victimes et d'accéder à des fichiers présents sur les machines victimes contenant des données personnelles.
Contournement provisoire
Désactiver les VBScripts en désactivant Active Scripting dans les paramètres de sécurité de Internet Explorer.
Solution
- Se référer au site web de Microsoft pour connaitre la disponibilité des correctifs :
http://www.microsoft.com/windowsupdate
- Installer le supplément sécurité de Microsoft pour Outlook 98 et 2000 :
http://office.microsoft.com/Download/2000/Out2ksec.aspx
Documentation
Bulletin de sécurité Microsoft MS02-009 :
http://www.microsoft.com/technet/seecurity/bulletin/MS02-009.asp
