Risque

  • Accès aux données personnelles

Systèmes affectés

Internet Explorer 5.5 et 6.

Résumé

Microsoft a établi un bulletin de sécurité concernant trois vulnérabilités sur Internet Explorer 5.5 et 6.

Les deux premières vulnérabilités concernent la gestion des « cookies », et la troisième concerne une variante de la vulnérabilité décrite dans l'avis du CERTA : CERTA-2001-AVI-116.

Description

  • Première et seconde vulnérabilité :

    Un concepteur de site Web mal intentionné peut créer une page contenant des scripts malicieux dans le but de récupérer, voire modifier, les informations contenues dans les cookies de la machine vulnérable visitant ce site.

  • Troisième vulnérabilité :

    Cette vulnérabilité concerne la façon de traiter les URL du champ adresse du navigateur. (cf. la partie Description de l'avis CERTA-2001-AVI-116)

Contournement provisoire

Pour les deux premières vulnérabilités, désactiver la fonctionnalité « Active Scripting ».

Pour la troisième vulnérabilité, modifier les paramètres du navigateur pour qu'il traite la Zone Locale comme la Zone Internet.

Solution

Télécharger le correctif disponible sur le site Microsoft :

http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp

Documentation