Risque

  • Elévation de privilèges ;
  • exécution de code arbitraire à distance ;
  • accès à des données non sollicité.

Systèmes affectés

Internet Explorer versions 5.01, 5.5 et 6.0.

Résumé

Plusieurs vulnérabilités sont présentes dans le navigateur de Microsoft.

Description

  • Un débordement de mémoire présent dans le contrôle ActiveX Legacy Text Formatting permet à un utilisateur mal intentionné d'obtenir les privilèges de l'administrateur et d'exécuter du code arbitraire à distance ;
  • une vulnérabilité dans la manière dont Internet Explorer gère une directive HTML affichant des données XML permet à un utilisateur mal intentionné d'avoir accès à des documents de type XML sur un système distant ;
  • une vulnérabilité dans la façon dont Internet Explorer représente l'origine d'un fichier dans la boîte de dialogue de téléchargement permet de faire télécharger des fichiers considérés comme provenant d'une source de confiance ;
  • une vulnérabilité de type Cross Domain Verification permet à un utilisateur mal intentionné d'accéder à des données à travers différents domaines.

Solution

Appliquer le correctif disponible sur le site de Microsoft (cf. Documentation).

Ce correctif est cumulatif et inclut les corrections documentées dans les avis CERTA-2002-AVI-128 et CERTA-2002-AVI-101.

Documentation

Bulletin de sécurité Microsoft #MS02-047 :

http://www.microsoft.com/technet/security/bulletin/MS02-047.asp