S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 décembre 2006
N° CERTA-2006-AVI-545
Affaire suivie par: CERT-FR
le 13 décembre 2006

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Microsoft Internet Explorer

Gestion du document

Référence CERTA-2006-AVI-545
Titre Multiples vulnérabilités dans Microsoft Internet Explorer
Date de la première version 13 décembre 2006
Date de la dernière version 13 décembre 2006
Source(s) Bulletin de sécurité Microsoft MS06-072 du 12 décembre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Microsoft Internet Explorer 5.01 ;
  • Microsoft Internet Explorer 6.

Résumé

De multiples vulnérabilités présentes dans Microsoft Internet Explorer permettent l'exécution de code arbitraire à distance ou le contournement de la politique de sécurité.

Description

La première vulnérabilité exploite une mauvaise gestion de la libération de la mémoire dans certaines situations. Une personne malintentionnée peut utiliser cette vulnérabilité afin d'exécuter du code arbitraire à distance par le biais d'une page Web spécialement conçue.

La seconde vulnérabilité réside dans une mauvaise gestion des appels des fonctions des scripts au format DHTML. Un utilisateur malveillant peut exploiter cette vulnérabilité afin d'exécuter du code arbitraire à distance par le biais d'une page Web spécialement conçue.

La troisième vulnérabilité consiste en une mauvaise gestion des opérations Glisser-Déplacer (Drag and Drop) dans certaines conditions. Un utilisateur malveillant exploitant cette vulnérabilité pourrait accéder à certains fichiers présents sur l'ordinateur de sa victime.

La quatrième vulnérabilité permet de divulguer le contenu mis en cache dans le dossier Temporay Internet Files. Une personne malveillante exploitant cette vulnérabilité pourrait accéder à certains fichiers présents sur l'ordinateur de sa victime par le biais d'une page Web spécialement conçue. L'exploitation de cette vulnérabilité nécessite une action de l'utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 décembre 2006
    version initiale.