S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 janvier 2010
N° CERTA-2010-ALE-001
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Microsoft Internet Explorer

Gestion du document

Référence CERTA-2010-ALE-001
Titre Vulnérabilité dans Microsoft Internet Explorer
Date de la première version15 janvier 2010
Date de la dernière version22 janvier 2010
Source(s) Bulletin de sécurité Microsoft #979352 du 14 janvier 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Internet Explorer 6 ;
  • Microsoft Internet Explorer 7 ;
  • Microsoft Internet Explorer 8.

Résumé

Une vulnérabilité dans Microsoft Internet Explorer permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Des exploitations limitées de cette vulnérabilité ont déjà été constatées.

Le CERTA rappelle que les vulnérabilités d'Internet Explorer sont exploitables au moyen de documents Microsoft Office (cf. bulletin d'actualité CERTA-2009-ACT-012).

Contournement provisoire

Un correctif de sécurité est disponible depuis le 21 janvier 2010, se référer à l'avis CERTA-2010-AVI-025.

Dans l'attente d'un correctif de l'éditeur, le CERTA recommande l'utilisation d'un navigateur alternatif.

Le CERTA rappelle également qu'il est fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits limités et la désactivation de l'interprétation de code dynamique (JavaScript, ActiveX, ...). De plus, l'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité.

Des contournements permettent d'empêcher l'exploitation de la vulnérabilité via des documents Microsoft Office.

Dans Office 2007, il faut désactiver totalement la prise en compte des ActiveX dans les documents : dans le menu principal, sélectionner « Options Word » , « Centre de gestion de la confidentialité » , « Paramètres du Centre de gestion de la confidentialité » , « Paramètres ActiveX » , et enfin l'option « Désactiver tous les contrôles sans notification. »

Dans Office 2003, il n'est pas possible de désactiver la prise en compte des ActiveX. Toutefois, la désactivation de la prise en compte des fichiers de type XML permet de limiter l'exploitation de la vulnérabilité pour les scénarios d'exploitation découverts jusqu'à présent.

Ceci se fait en modifiant la clé de registre suivante :

HKCU\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock

et en affectant 1 à la valeur (de type DWORD) XmlFiles. Il faut faire de même pour les autres applications Microsoft Office (remplacer Word par Excel, Powerpoint, etc.).

Ce contournement pour Office 2003 peut avoir des effets de bord et doit donc être utilisé avec précaution.

Solution

Le bulletin de sécurité MS010-002 de Microsoft corrige le problème.

Se référer à ce bulletin pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 janvier 2010
    version initiale.
    le 21 janvier 2010
    modification des sections « Description » et « Contournement provisoire » pour la prise en compte des documents Office.
    le 22 janvier 2010
    ajout de la section « Solution ».