{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Microsoft Internet Explorer 6.x.</p>","closed_at":"2006-04-12","content":"## Description\n\nDeux vuln\u00e9rabilit\u00e9s non-corrig\u00e9es sont pr\u00e9sentes dans Internet Explorer\n:\n\n-   la premi\u00e8re vuln\u00e9rabilit\u00e9 est due \u00e0 une erreur dans le traitement de\n    certains attributs de balises html et permet \u00e0 un utilisateur\n    distant mal intentionn\u00e9 de provoquer un d\u00e9ni de service par le biais\n    d'une page web construite de fa\u00e7on malveillante ;\n-   La deuxi\u00e8me vuln\u00e9rabilit\u00e9 est due \u00e0 une erreur dans la fonction\n    createTextRange() utilis\u00e9e dans les Active Scripts pour Internet\n    Explorer. Cette vuln\u00e9rabilit\u00e9 permettrait \u00e0 un utilisateur distant\n    de provoquer un d\u00e9ni de service ou d'ex\u00e9cuter du code arbitraire par\n    le biais d'une page web d\u00e9di\u00e9e.\n\nIl existe du code malveillant disponible sur l'Internet exploitant au\nmoins la premi\u00e8re vuln\u00e9rabilit\u00e9.\n\n## Contournement provisoire\n\n## 5.1 Contournement appliquable aux deux vuln\u00e9rabilit\u00e9s\n\nLes deux vuln\u00e9rabilit\u00e9s concernent des composants de Internet Explorer.\nIl donc est n\u00e9cessaire d'utiliser un navigateur alternatif comme Firefox\nou Opera.\n\n## 5.2 Contournement appliquable \u00e0 la deuxi\u00e8me vuln\u00e9rabilit\u00e9 (createTextRange())\n\nCette vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans une fonction utilis\u00e9e par les\nActive Scripts. Il est donc possible de d\u00e9sactiver la mise en \u0153uvre des\nActive Scripts dans Internet Explorer. Pour cela, dans l'onglet S\u00e9curit\u00e9\ndes options de Internet Explorer, cliquer sur le bouton Personnaliser le\nniveau...; puis dans la section Script et Active Scripting, cocher\nD\u00e9sactiver.\n\n## Solution\n\nAppliquer le correctif tel qu'indiqu\u00e9 dans le bulletin de s\u00e9curit\u00e9\nMicrosoft MS06-013 et d\u00e9taill\u00e9 dans l'avis du CERTA CERTA-2006-AVI-150\n(cf. section Documentation).\n","cves":[],"links":[{"title":"Site Internet de Internet Explorer :","url":"http://www.microsoft.com/windows/ie/"},{"title":"Avis du CERTA CERTA-2006-AVI-150 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-150/"}],"reference":"CERTA-2006-ALE-002","revisions":[{"description":"version initiale.","revision_date":"2006-03-23T00:00:00.000000"},{"description":"prise en compte du bulletin de s\u00e9curit\u00e9 Microsoft MS06-013.","revision_date":"2006-04-12T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Internet Explorer\npermettant de provoquer un d\u00e9ni de service et d'ex\u00e9cuter du code\narbitraire \u00e0 distance.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS06-013 du 11 avril 2006","url":"http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx"}]}