{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Internet Explorer versions 5.01 et 5.5.","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nOutlook et Outlook express utilisent des composants d'Internet Explorer\nafin d'assurer la lecture des m\u00e9ls au format HTML. Internet Explorer\nd\u00e9termine en fonction du type MIME du fichier l'application \u00e0 activer\npour en assurer la lecture (exemple : fichier texte, vid\u00e9o, audio,\netc...).\n\nUne vuln\u00e9rabilit\u00e9 d'Internet Explorer dans l'interpr\u00e9tation de l'ent\u00eate\nMIME permet \u00e0 un utilisateur mal intentionn\u00e9d'ex\u00e9cuter du code\narbitraire avec les privil\u00e8ges du destinataire du message.\n\nSous Outlook, il existe un \u00ab volet de pr\u00e9visualisation \u00bb qui permet de\nvoir le message d\u00e8s qu'il est s\u00e9lectionn\u00e9. Il est activ\u00e9 par d\u00e9faut dans\nla configuration d'outlook.\n\nIl est \u00e9galement possible d'ins\u00e9rer ce type de code dans une page HTML\nhabilement con\u00e7ue afin de le faire ex\u00e9cuter par le navigateur.\n\n## Contournement provisoire\n\nDans l'impossibilit\u00e9 d'appliquer le correctif imm\u00e9diatement (absence de\nla personne ayant les permissions ad\u00e9quates sur la syst\u00e8me par exemple),\nutiliser le moyen temporaire suivant :\n\nIl est possible de bloquer le t\u00e9l\u00e9chargement automatique de fichiers\ndans les param\u00e8tres d'Internet Explorer :\n\n-   Menu : Outils ;\n-   s\u00e9lectoionner : Options Internet ;\n-   onglet : s\u00e9curit\u00e9 ;\n-   choix : Personnaliser le niveau ;\n-   d\u00e9sactiver : T\u00e9l\u00e9chargement de fichiers.\n\n## Solution\n\n-   Appliquer le correctif de Microsoft :\n\n        http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp\n\n-   Le Service Pack 2 d'Internet Explorer 5.5 ou 5.01 corrige cette\n    vuln\u00e9rabilit\u00e9 entre-autres :\n\n        http://www.microsoft.com/windows/ie/downloads/archive/default.asp\n\n-   Installer Internet Explorer 6 :\n\n        http://www.microsoft.com/windows/ie/downloads/ie6/default.asp\n\nNota : Pour prendre connaissance de la version d'Internet Explorer et\ndes correctif ou Service Packs qui y ont \u00e9t\u00e9 appliqu\u00e9s, proc\u00e9dez comme\nsuit :\n\n1.  D\u00e9marrer le navigateur Internet Explorer ;\n\n2.  menu : \u00ab?\u00bb (A propos) ;\n\n3.  s\u00e9lectionner : A propos d'Internet Explorer ;\n\n4.  le champ : Versions des mises \u00e0 jour (ou Updates Versions permet de\n    connaitre les correctifs et Service Packs qui ont \u00e9t\u00e9 appliqu\u00e9s.\n\n    La figure\u00a0[1](#fig:ie501) montre une version d'Internet Explorer\n    5.01 sans aucun correctif appliqu\u00e9. La figure\u00a0[2](#fig:ie55) montre\n    une version de Internet Explorer 5.5 corrig\u00e9e avec le Service Pack 2\n    (indiqu\u00e9 par : ;SP2;)\n\n<div markdown=\"1\" align=\"center\">\n\n<table>\n<caption><strong>Figure 1:</strong> Internet Explorer 5.01 non\ncorrig\u00e9</caption>\n<colgroup>\n<col style=\"width: 100%\" />\n</colgroup>\n<tbody>\n<tr class=\"odd\">\n<td><div data-align=\"center\">\n<img src=\"/uploads/ie500-7.png\" data-align=\"bottom\" data-border=\"0\"\nwidth=\"359\" height=\"315\" alt=\"Image ie500\" />\n</div></td>\n</tr>\n</tbody>\n</table>\n\n**Figure 1:** Internet Explorer 5.01 non corrig\u00e9\n\n</div>\n\n<div markdown=\"1\" align=\"center\">\n\n<table>\n<caption><strong>Figure 2:</strong> Internet Explorer 5.5\ncorrig\u00e9</caption>\n<colgroup>\n<col style=\"width: 100%\" />\n</colgroup>\n<tbody>\n<tr class=\"odd\">\n<td><div data-align=\"center\">\n<img src=\"/uploads/ie55-7.png\" data-align=\"bottom\" data-border=\"0\"\nwidth=\"359\" height=\"315\" alt=\"Image ie55\" />\n</div></td>\n</tr>\n</tbody>\n</table>\n\n**Figure 2:** Internet Explorer 5.5 corrig\u00e9\n\n</div>\n\nAttention :le champ nomm\u00e9 \u00ab version: \u00bb indique la version du navigateur.\nMais pour la version 5.01 d'internet explorer, ce champ commencera par\n5.00. Les huits autres chiffres correspondent au correctifs appliqu\u00e9s\nainsi qu'aux Service Packs.\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 MS01-020 de Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/MS01-020.asp"}],"reference":"CERTA-2001-AVI-041","revisions":[{"description":"version initiale.","revision_date":"2001-03-30T00:00:00.000000"},{"description":"seconde version : propagation intensive des vers utilisant cette vuln\u00e9rabilit\u00e9.","revision_date":"2002-07-16T00:00:00.000000"}],"risks":[{"description":"Propagation de ver et de virus"},{"description":"Ex\u00e9cution de code arbitraire"}],"summary":"Un utilisateur mal intentionn\u00e9 peut envoyer par m\u00e9l ou disposer sur un\nsite web une page HTML habilement con\u00e7ue dans le but d'ex\u00e9cuter du code\narbitraire sur la machine cible.\n","title":"Vuln\u00e9rabilit\u00e9 dans Internet Explorer 5.01 et 5.5","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft (MS01-020)","url":null}]}