Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données.
Systèmes affectés
- Internet Explorer 5.01 ;
- Internet Explorer 6 ;
- Internet Explorer 6 Service Pack 1 ;
- Internet Explorer 7.
Tous les systèmes d'exploitation Windows utilisant ces versions du navigateur sont potentiellement affectés.
Résumé
Des vulnérabilités ont été identifiées dans le navigateur Microsoft Internet Explorer. L'exploitation de celles-ci peuvent conduire une personne malveillante distante à récupérer des informations auxquelles elle ne devrait pas avoir accès ou à exécuter du code arbitraire sur le système vulnérable.
Description
Des vulnérabilités ont été identifiées dans le navigateur Microsoft Internet Explorer :
- le navigateur ne manipulerait pas correctement des appels de méthode pour des objets HTML, en particulier substringData() appliqué à des objets DOM spécialement construits ;
- le navigateur n'interprète pas correctement certains en-têtes de requêtes HTTP permettant à une personne distante de contourner la politique de sécurité du navigateur (same origin policy) via une page Web spécialement construite.
Solution
Se référer au bulletin de sécurité MS08-031 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-031 du 10 juin 2008 :
http://www.microsoft.com/france/technet/security/Bulletin/MS08-031.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-031.mspx
- Bulletin de sécurité ZDI-08-039 du 10 juin 2008 :
http://www.zerodayinitiative.com/advisories/ZDI-08-039
- Référence CVE CVE-2008-1442 :
https://www.cve.org/CVERecord?id=CVE-2008-1442
- Référence CVE CVE-2008-1544 :
https://www.cve.org/CVERecord?id=CVE-2008-1544