Risque
- Exécution de code arbitraire ;
- accès aux données utilisateur.
Systèmes affectés
- Internet Explorer 6 Service Pack 1 ;
- Internet Explorer 6 Service Pack 1 (64-bit Edition) ;
- Internet Explorer 6 Service Pack 1 Windows Server 2003 ;
- Internet Explorer 6 Service Pack 1 Windows Server 2003 (64-bit Edition) ;
- Internet Explorer 6 Service ;
- Internet Explorer 5.5 Service Pack 2 ;
- Internet Explorer 5.01 Service Pack 4 ;
- Internet Explorer 5.01 Service Pack 3 ;
- Internet Explorer 5.01 Service Pack 2.
Résumé
Un correctif cumulatif pour Internet Explorer a été réalisé par Microsoft.
Description
- 3 vulnérabilités permettent de contourner le cloisonnement mis en place au moyen des zones de sécurité au niveau d'Internet Explorer (CVE CAN-2003-0814 ; CVE CAN-2003-815 ; CVE CAN-2003-816).
- Une vulnérabilité dans le traitement des objets XML permet à un concepteur d'un site web judicieusement composé de lire les fichiers locaux de l'utilisateur de la machine cible (CVE CAN-2003-817).
- Une vulnérabilité dans la vérification de téléchargement depuis une page DHTML permet à un concepteur de site d'effectuer un téléchargement sur la machine cible sans que l'utilisateur en soit informé par une boite de dialogue (CVE CAN-2003-0823).
Solution
Appliquer le correctif de l'éditeur :
http://www.microsoft.com/technet/security/bulletin/MS03-048.asp
Documentation
- Référence CVE CAN-2003-0814 :
https://www.cve.org/CVERecord?id=CAN-2003-0814
- Référence CVE CAN-2003-0815 :
https://www.cve.org/CVERecord?id=CAN-2003-0815
- Référence CVE CAN-2003-0816 :
https://www.cve.org/CVERecord?id=CAN-2003-0816
- Référence CVE CAN-2003-0817 :
https://www.cve.org/CVERecord?id=CAN-2003-0817
- Référence CVE CAN-2003-0823 :
https://www.cve.org/CVERecord?id=CAN-2003-0823