Objet: Vulnérabilités dans Internet Explorer

Risque

• Exécution de code arbitraire à distance ;
• atteinte à la confidentialité des données.

Systèmes affectés

Internet explorer 6.x, 7.x et 8.x.

Résumé

Plusieurs vulnérabilités affectent Internet Explorer permettant la divulgation de données ou l'exécution de code arbitraire à distance

Description

Plusieurs vulnérabilités affectent Internet Explorer :

• le mécanisme d'autocomplétion permet à un utilisateur malveillant d'accéder indûment à des données ;
• le filtrage par la fonction toStaticHTML permet à un utilisateur malveillant d'exécuter du code à distance avec les droits de l'utilisateur connecté ;
• le traitement de certains caractères dans les feuilles de style (CSS) permet à un utilisateur malveillant d'accéder indûment à des données ;
• le traitement d'objets non initialisés ou détruits présente un défaut permettant à un utilisateur malveillant d'exécuter du code à distance avec les droits de l'utilisateur connecté. L'une de ces vulnérabilités est liée à l'ouverture de documents HTML par Word ;
• le traitement des éléments de type Anchor permet à un utilisateur malveillant d'accéder indûment à des données ;
• le cloisonnement entre domaines est imparfait et permet à un utilisateur malveillant de récupérer des informations liées à la connexion de l'utilisateur sur un site d'un autre domaine.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Microsoft MS10-071 du 12 octobre 2010 :

  http://www.microsoft.com/france/technet/security/Bulletin/MS10-071.mspx
  

  http://www.microsoft.com/technet/security/Bulletin/MS10-071.mspx
  

• Référence CVE CVE-2010-0808 :

  https://www.cve.org/CVERecord?id=CVE-2010-0808
  

• Référence CVE CVE-2010-3243 :

  https://www.cve.org/CVERecord?id=CVE-2010-3243
  

• Référence CVE CVE-2010-3324 :

  https://www.cve.org/CVERecord?id=CVE-2010-3324
  

• Référence CVE CVE-2010-3325 :

  https://www.cve.org/CVERecord?id=CVE-2010-3325
  

• Référence CVE CVE-2010-3326 :

  https://www.cve.org/CVERecord?id=CVE-2010-3326
  

• Référence CVE CVE-2010-3327 :

  https://www.cve.org/CVERecord?id=CVE-2010-3327
  

• Référence CVE CVE-2010-3328 :

  https://www.cve.org/CVERecord?id=CVE-2010-3328
  

• Référence CVE CVE-2010-3329 :

  https://www.cve.org/CVERecord?id=CVE-2010-3329
  

• Référence CVE CVE-2010-3330 :

  https://www.cve.org/CVERecord?id=CVE-2010-3330
  

• Référence CVE CVE-2010-3331 :

  https://www.cve.org/CVERecord?id=CVE-2010-3331