Risque

  • Exécution de code arbitraire ;
  • divulgation d'informations.

Systèmes affectés

  • Microsoft Internet Explorer 5.01 ;
  • Microsoft Internet Explorer 5.5 ;
  • Microsoft Internet Explorer 6.0.

Résumé

Quatre vulnérabilités de Microsoft Internet Explorer ont été découvertes et peuvent être exploitées par le biais d'un site web ou d'un mél au format HTML habilement contruit.

Description

  • Première vulnérabilité (CVE CAN-2003-0113) : un débordement de mémoire dans la bibliothèque URLMON.DLL permet à un utilisateur mal intentionné d'exécuter du code arbitraire.
  • Deuxième vulnérabilité (CVE CAN-2003-0114) : le programme de contrôle de téléchargement de fichiers (File Upload Control) est vulnérable et permet à un utilisateur mal intentionné de récupérer n'importe quel fichier situé sur le disque dur de la victime.
  • Troisième vulnérabilité (CVE CAN-2003-0115) : Internet Explorer ne gère pas correctement les liens hypertextes (URL) qui invoquent un module d'une application tierce. Il est alors possible d'exécuter du script sur la machine vulnérable dans la zone de sécurité locale.
  • Quatrième vulnérabilité (CVE CAN-2003-0116) : un paramètre des feuilles de style (Cascading Style Sheet) utilisées pour les boîtes de dialogue (Modal Dialog) n'est pas vérifié et permet à un utilisateur mal intentionné d'exécuter un script sur l'ordinateur de la victime.

Solution

Appliquer le correctif fourni par Microsoft :

http://www.microsoft.com/windows/ie/downloads/critical/813489.asp

Documentation