Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Internet Explorer 5.01 Service Pack 4 ;
  • Microsoft Internet Explorer 6 ;
  • Microsoft Internet Explorer 6 Service Pack 1 ;
  • Microsoft Internet Explorer 7.

Résumé

Une vulnérabilité dans Microsoft Internet Explorer permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité de type corruption de mémoire a été identifiée dans une fonction de la bibliothèque mshtml.dll utilisée par Microsoft Internet Explorer. La faille permet à une personne malintentionnée d'exécuter du code arbitraire sur le poste vulnérable d'un utilisateur en l'incitant à visiter une page Web spécialement conçue.

Du code d'exploitation est disponible sur l'Internet.

Contournement provisoire

Le CERTA recommande les mesures suivantes :

  • désactiver le Javascript par défaut et ne le réactiver qu'au cas par cas sur des sites de confiance ;
  • utiliser un navigateur alternatif.

Le CERTA rappelle également qu'il est fortement conseillé de naviguer avec un compte utilisateur aux droits restreints.

D'autres contournements ont été émis par l'éditeur, notamment :

  • la désactivation de la fonctionnalité XML Island ;
  • la désinscription de OLEDB32.DLL ;
  • la modification des ACL (Access Control List) de OLEDB32.DLL ;
  • la modification des ACL d'intégrité de OLEDB32.DLL (sur Windows Vista) ;
  • la désactivation de la fonctionnalité Row Position de OLEDB32.DLL.

Certains contournements ont plus d'effets de bord que d'autres (notamment, la désinscription ou la modification des ACL de OLEDB32.DLL). Se référer au bulletin de sécurité de Microsoft pour plus de détails.

Enfin, l'activation du DEP (Data Execution Prevention) peut rendre l'exploitation plus difficile.

Solution

Microsoft a émis une mise à jour hors du cycle mensuel pour corriger cette vulnérabilité. Se référer à l'avis CERTA-2008-AVI-604 pour l'obtention des correctifs.

Documentation