S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 novembre 2001
N° CERTA-2001-AVI-140
Affaire suivie par: CERT-FR
le 15 novembre 2001

Avis du CERT-FR

Objet: Vulnérabilités dans Internet Explorer

Gestion du document

Référence CERTA-2001-AVI-140
Titre Vulnérabilités dans Internet Explorer
Date de la première version 15 novembre 2001
Date de la dernière version 15 novembre 2001
Source(s) Bulletin Microsoft MS01-055
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Accès aux données personnelles.

Systèmes affectés

Internet Explorer 5.5 et 6.

Résumé

Microsoft a établi un bulletin de sécurité concernant trois vulnérabilités sur Internet Explorer 5.5 et 6.

Les deux premières vulnérabilités concernent la gestion des « cookies », et la troisième concerne une variante de la vulnérabilité décrite dans l'avis du CERTA : CERTA-2001-AVI-116.

Description

  • Première et seconde vulnérabilité :

    Un concepteur de site Web mal intentionné peut créer une page contenant des scripts malicieux dans le but de récupérer, voire modifier, les informations contenues dans les cookies de la machine vulnérable visitant ce site.

  • Troisième vulnérabilité :

    Cette vulnérabilité concerne la façon de traiter les URL du champ adresse du navigateur. (cf. la partie Description de l'avis CERTA-2001-AVI-116)

Contournement provisoire

Pour les deux premières vulnérabilités, désactiver la fonctionnalité « Active Scripting ».

Pour la troisième vulnérabilité, modifier les paramètres du navigateur pour qu'il traite la Zone Locale comme la Zone Internet.

Solution

Télécharger le correctif disponible sur le site Microsoft :

http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp

Documentation

Bulletin Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS01-055.asp

Gestion détaillée du document

    le 15 novembre 2001
    version initiale.