{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Internet Explorer 8.","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Internet Explorer 7 ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Internet Explorer 6 ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2011-02-09","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 affecte Microsoft Internet Explorer et permet \u00e0 un\nutilisateur malveillant d'ex\u00e9cuter du code arbitraire \u00e0 distance en\nutilisant des feuilles de style (CSS) sp\u00e9cialement con\u00e7ues.\n\nUne preuve de faisabilit\u00e9 est d\u00e9j\u00e0 disponible sur l'Internet.\n\n## Contournement provisoire\n\nDans l'attente d'un correctif de l'\u00e9diteur, le CERTA recommande\nplusieurs actions :\n\n-   pour limiter la possibilit\u00e9 d'exploitation de la vuln\u00e9rabilit\u00e9\u00a0:\n    -   la d\u00e9sactivation de l'interpr\u00e9tation des scripts Javascript\u00a0;\n    -   le d\u00e9ploiement d'EMET (Enhanced Mitigation Experience Toolkit)\u00a0;\n    -   l'utilisation d'un navigateur alternatif ;\n-   pour limiter l'impact de l'exploitation de la vuln\u00e9rabilit\u00e9,\n    l'utilisation d'un compte utilisateur avec des droits restreints.\n\nMicrosoft a publi\u00e9 le correctif MicrosoftFixIt50591.msi afin d'aller\n\u00e9diter temporairement la biblioth\u00e8que partag\u00e9e MSHTML.DLL, responsable\nde cette vuln\u00e9rabilit\u00e9. Pour pouvoir appliquer ce correctif il est\nn\u00e9cessaire d'appliquer les derni\u00e8res mises \u00e0 jour de s\u00e9curit\u00e9, notamment\nle correctif MS10-090 du 14 d\u00e9cembre 2010.\n\nIl est \u00e9galement n\u00e9cessaire de bien mesurer les effets de bord possibles\nde ce correctif avant tout d\u00e9ploiement en production.\n\n## Solution\n\nL'\u00e9diteur a publi\u00e9 le correctif MS11-003 pour corriger cette\nvuln\u00e9rabilit\u00e9.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2010-3971","url":"https://www.cve.org/CVERecord?id=CVE-2010-3971"}],"links":[{"title":"Document du CERTA CERTA-2011-AVI-058 du 09 f\u00e9vrier 2011 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-058/"},{"title":"Bloc-Notes Microsoft SRD, \"New workaround included in    security Advisory 2488013\", 11 janvier 2011 :","url":"http://blogs.technet.com/b/srd/archive/2011/01/11/new-workaround-included-in-security-advisory-2488013.aspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS11-003 du 08 f\u00e9vrier 2011    :","url":"http://www.microsoft.com/france/technet/security/Bulletin/MS11-003.mspx"},{"title":"Bloc-Notes Microsoft SRD, \"New Internet Explorer    vulnerability affecting all versions of IE\", 22 d\u00e9cembre 2010 :","url":"http://blogs.technet.com/b/srd/archive/2010/12/22/new-internet-explorer-vulnerability-affecting-all-versions-of-ie.aspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft 2488013 du 22 d\u00e9cembre 2010    :","url":"http://www.microsoft.com/technet/security/advisory/2488013.mspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS11-003 du 08 f\u00e9vrier 2011    :","url":"http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx"}],"reference":"CERTA-2010-ALE-021","revisions":[{"description":"version initiale.","revision_date":"2010-12-22T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin Microsoft et de la r\u00e9f\u00e9rence CVE.","revision_date":"2010-12-23T00:00:00.000000"},{"description":"ajout du correctif temporaire dans les contournements provisoires.","revision_date":"2011-01-12T00:00:00.000000"},{"description":"ajout du correctif MS11-003.","revision_date":"2011-02-09T00:00:00.000000"}],"risks":[{"description":"D\u00e9ni de service \u00e0 distance"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"L'\u00e9diteur a publi\u00e9 un correctif le 08 f\u00e9vrier 2011.\n\nUne vuln\u00e9rabilit\u00e9 dans Microsoft Internet Explorer permet \u00e0 un\nutilisateur malveillant d'ex\u00e9cuter du code arbitraire \u00e0 distance par\nl'interm\u00e9diaire d'une page web sp\u00e9cialement con\u00e7ue.\n","title":"Vuln\u00e9rabilit\u00e9 dans Microsoft Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin de S\u00e9curit\u00e9 Microsoft 2488013 du 22 d\u00e9cembre 2010","url":null}]}