{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes Windows \u00e9quip\u00e9s d'Internet Explorer 4.01,  5.5 ou 6.</P>","content":"## Description\n\n-   Sous Internet Explorer, il est possible de saisir dans l'URL\n    l'adresse IP d'un site web sous forme d\u00e9cimale.\n\n    Mais une mauvaise impl\u00e9mentation dans la gestion des param\u00e8tres de\n    s\u00e9curit\u00e9 du logiciel entraine le traitement des adresse en d\u00e9cimales\n    comme des adresses du r\u00e9seau local (Zone Locale). Par d\u00e9faut, dans\n    les versions \u00e0 jour d'Internet Explorer, les param\u00e8tres de s\u00e9curit\u00e9\n    sont plus laxistes que ceux de la Zone Internet.\n\n-   Il est possible d'usurper l'identit\u00e9 d'un utilisateur navigant sur\n    un site web. Ceci permet \u00e0 un utilisateur mal intentionn\u00e9 d'acc\u00e9der,\n    par des services web (webmail, etc.), \u00e0 des donn\u00e9es dont il n'est\n    pas le propri\u00e9taitre.\n\n-   Il est possible d'ouvrir une session telnet par le biais d'un lien\n    situ\u00e9 dans une page en HTML. Un utilisateur mal intentionn\u00e9 peut, en\n    utilisant les param\u00e8tres pass\u00e9s au client telnet, cr\u00e9er ou \u00e9craser\n    un fichier situ\u00e9 n'importe o\u00f9 sur le disque dur du client (NT\n    ou 2000) s'il est \u00e9quip\u00e9 de SFU (Services for Unix), et ainsi lui\n    faire ex\u00e9cuter du code arbitraire.\n\n    Cette vuln\u00e9rabilit\u00e9 est semblable \u00e0 celle d\u00e9crite dans l'avis\n    CERTA-2001-AVI-027 et le bulletin de s\u00e9curit\u00e9 Microsoft : MS01-015.\n\n## Contournement provisoire\n\n-   Param\u00e8trer le navigateur pour qu'il traite la Zone Locale comme la\n    Zone Internet.\n-   Ne pas utiliser de logiciels clients (navigateur ou courrier\n    \u00e9lectronique par exemple) depuis un serveur, ni depuis une machine\n    contenant des donn\u00e9es sensibles.\n\n## Solution\n\nAppliquer le correctif de Microsoft :\n\n    http://www.microsoft.com/windows/ie/downloads/critical/q306121/default.asp\n","cves":[],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft :","url":"http://www.microsoft.com/technet/security/bulletin/MS01-051.asp"}],"reference":"CERTA-2001-AVI-116","revisions":[{"description":"version initiale","revision_date":"2001-10-16T00:00:00.000000"},{"description":"seconde version : correction de l'URL du bulletin de s\u00e9curit\u00e9 Microsoft du paragraphe Documentation.","revision_date":"2001-10-23T00:00:00.000000"}],"risks":[{"description":"Usurpation d'identit\u00e9"},{"description":"Ex\u00e9cution de code arbitraire"},{"description":"R\u00e9duction des param\u00e8tres de s\u00e9curit\u00e9"}],"summary":"Internet Explorer poss\u00e8de trois vuln\u00e9rabilit\u00e9s mettant en cause la fa\u00e7on\nde traiter les URL du champ adresse du navigateur.\n","title":"Vuln\u00e9rabilit\u00e9 de Microsoft Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS01-051","url":null}]}