{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>La vuln\u00e9rabilit\u00e9 touche toutes les versions d'Internet  Explorer (4.x et 5.x), sauf 5.5, et est ind\u00e9pendante du syst\u00e8me  d'exploitation.</P>","content":"## Description\n\nLorsqu'un utilisateur donne un identifiant et un mot de passe pour\nacc\u00e9der \u00e0 des pages web, ces donn\u00e9es sont conserv\u00e9es dans un cache par\nInternet Explorer, de fa\u00e7on \u00e0 \u00eatre r\u00e9utilis\u00e9es (lors d'autres acc\u00e8s au\nm\u00eame site) durant la m\u00eame session. Les donn\u00e9es confidentielles envoy\u00e9es\n\u00e0 un site lors d'une connexion en mode s\u00e9curis\u00e9, ne devraient jamais\n\u00eatre transmises pendant des acc\u00e8s en mode non-s\u00e9curis\u00e9 (HTTP).\n\nLa vuln\u00e9rabilit\u00e9 r\u00e9side dans le fait qu'Internet Explorer, conservant\nles donn\u00e9es confidentielles utilis\u00e9es lors d'un acc\u00e8s en mode s\u00e9curis\u00e9,\nles enverra aussi en clair, automatiquement\u00e9, s'il s'agit du m\u00eame site,\nlors d'acc\u00e8s en mode non-s\u00e9curis\u00e9.\n\nUn utilisateur mal intentionn\u00e9 qui a acc\u00e8s au r\u00e9seau situ\u00e9 entre le\nclient et le serveur s\u00e9curis\u00e9, peut, en usurpant l'adresse internet d'un\nautre serveur, et en envoyant au client une fausse page qui cherche \u00e0 se\nconnecter par HTTP sur le site sur lequel le client s'est d\u00e9j\u00e0\nauthentifi\u00e9 en mode s'\u00e9curis\u00e9, lire en clair les donn\u00e9es confidentielles\nconserv\u00e9es dans le cache, qui sont envoy\u00e9es automatiquement par le\nnavigateur.\n\n## Solution\n\nAppliquer le correctif de Microsoft pour Internet Explorer :\n\n    http://www.microsoft.com/windows/ie/download/critical/q273868.htm\n","cves":[],"links":[{"title":"la FAQ du bulletin de s\u00e9curit\u00e9 :","url":"http://www.microsoft.com/technet/security/bulletin/fq00-076.asp"},{"title":"le bulletin de s\u00e9curit\u00e9 de Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/ms00-076.asp"}],"reference":"CERTA-2000-AVI-060","revisions":[{"description":"version initiale.","revision_date":"2000-10-13T00:00:00.000000"}],"risks":[{"description":"Usurpation d'identit\u00e9 lors de l'acc\u00e8s \u00e0 un site web s\u00e9curis\u00e9"}],"summary":"Un utilisateur mal intentionn\u00e9, peut par un proc\u00e9d\u00e9 d'usurpation\nd'adresse, obtenir des donn\u00e9es d'authentification qui ne lui\nappartiennent pas, alors qu'elles ont \u00e9t\u00e9 transmises \u00e0 un site en mode\ns\u00e9curis\u00e9 (lors d'un acc\u00e8s par HTTPS).\n","title":"Vuln\u00e9rabilit\u00e9 dans le cache d'authentification d'Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft","url":null}]}