Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Internet Explorer 6 ;
- Internet Explorer 7.
Résumé
Une vulnérabilité dans Internet Explorer versions 6 et 7 permet à une personne malintentionnée d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité non corrigée existe dans les versions 6 et 7 d'Internet Explorer et permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Le code permettant l'exploitation de cette vulnérabilité est disponible sur l'internet.
Contournement provisoire
Dans l'attente d'un correctif de l'éditeur, le CERTA recommande les mesures suivantes :
- utiliser un navigateur alternatif ;
- désactiver l'exécution du JavaScript par défaut et ne l'activer qu'au cas par cas sur des sites de confiance ;
Le CERTA rappelle également qu'il est fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits restreints. De plus, l'activation de DEP (Data Execution Prevention) peut empêcher certaines exploitations de la vulnérabilité (cf. bulletin de l'éditeur).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft #977981 du 23 novembre 2009 : http://www.microsoft.com/technet/security/advisory/977981.mspx
- Bulletin de sécurité Microsoft MS09-072 du 08 décembre 2009 : http://www.microsoft.com/france/technet/security/Bulletin/MS09-072.mspx
- Bulletin de sécurité Microsoft MS09-072 du 08 décembre 2009 : http://www.microsoft.com/technet/security/Bulletin/MS09-072.mspx
- Bulletin de sécurité du CERTA CERTA-2009-AVI-538 du 09 décembre 2009: http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-538
- Référence CVE CVE-2009-3672 https://www.cve.org/CVERecord?id=CVE-2009-3672
