Risque

  • Exécution de code arbitraire ;
  • Atténuation des paramètres de sécurité.

Systèmes affectés

  • Microsoft Internet Explorer 5.01 ;
  • Microsoft Internet Explorer 5.5 ;
  • Microsoft Internet Explorer 6.0.

Résumé

Deux vulnérabilités ont été découvertes dans Internet Explorer.

La première vulnérabilité permet, par le biais d'un cookie judicieusement composé, de changer la détermination de zone d'Internet Explorer diminuant ainsi les restrictions.

La seconde vulnérabilité permet, lors de la visite d'une page web habilement conçue, d'exécuter n'importe quel programme présent sur la machine cible.

Description

  • Première vulnérabilité :

    Sur Internet Explorer une notion de zone permet d'accorder différents niveaux de confiance aux sites visités. Suivant ces niveaux, plusieurs restrictions sont effectuées pour l'exécution de code ou autre. Par principe, les sites Internet distants sont considérés dans la Zone Internet. Un concepteur de site mal intentionné peut créer un cookie composé de code HTML qui sera déposé, lors de la visite sur le site, dans la machine cible.

    Quand ce cookie sera à nouveau consulté, le code qu'il contient sera automatiquement exécuté en Zone Locale et non Zone Internet diminuant ainsi les restrictions.

  • Seconde vulnérabilité :

    L'objet CodeBase permet de définir l'emplacement où un fichier, récupéré par le biais d'une page Web, va être enregistré.

    Une vulnérabilité présente dans cet objet permet d'exécuter n'importe quel programme présent sur une machine.

    Un concepteur de site mal intentionné ayant réalisé une page web exploitant cette vulnérabilité pourrait faire exécuter n'importe quel programme sur la machine cible. Cependant aucun paramètre ne peut être ajouté à la commande.

Contournement provisoire

Concernant la première vulnérabilité, il est conseillé de désactiver les cookies.

Solution

Télécharger le correctif sur le site Microsoft :

http://www.microsoft.com/windows/ie/downloads/critical/Q319182/default.as

Documentation

Bulletin Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS02-015.asp