Objet: Vulnérabilités dans Internet Explorer

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Internet Explorer, version 6,7 et 8.

Résumé

Plusieurs vulnérabilités d'Internet Explorer permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Quatre vulnérabilités d'Internet Explorer viennent d'être corrigées :

• la première concerne le traitement récursif des feuilles de style (CSS). Elle est décrite dans l'alerte CERTA-2010-ALE-021 (voir section Documentation) ;
• deux autres sont relatives à l'utilisation d'objets non initialisés ou effacés ;
• la dernière provient de la recherche et du chargement des bibliothèques dynamiques (DLL). Cette vulnérabilité est décrite dans le bulletin d'actualité CERTA-2010-ACT-034 (voir section Documentation).

Chacune de ces vulnérabilités permet à un utilisateur malveillant d'exécuter du code arbitraire à distance avec les droits de l'utilisateur d'Internet Explorer.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Microsoft MS11-003 du 08 février 2011 :

  http://www.microsoft.com/france/technet/security/Bulletin/MS11-003.mspx
  

  http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx
  

• Document du CERTA CERTA-2010-ALE-021 du 12 janvier 2011 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-021/index.html
  

• Document du CERTA CERTA-2010-ACT-034 du 26 août 2010 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-034/index.html
  

• Référence CVE CVE-2010-3971 :

  https://www.cve.org/CVERecord?id=CVE-2010-3971
  

• Référence CVE CVE-2011-0035 :

  https://www.cve.org/CVERecord?id=CVE-2011-0035
  

• Référence CVE CVE-2011-0036 :

  https://www.cve.org/CVERecord?id=CVE-2011-0036
  

• Référence CVE CVE-2011-0038 :

  https://www.cve.org/CVERecord?id=CVE-2011-0038