S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 décembre 2001
N° CERTA-2001-AVI-163
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Internet Explorer 5.5 et 6

Gestion du document

Référence CERTA-2001-AVI-163
Titre Vulnérabilités dans Internet Explorer 5.5 et 6
Date de la première version17 décembre 2001
Date de la dernière version17 décembre 2001
Source(s) Bulletin Microsoft MS01-058
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Accès aux données utilisateur
  • Contournement des mécanismes de sécurité
  • Exécution de code arbitraire

Systèmes affectés

Microsoft Internet Explorer 5.5 et 6.

Résumé

Trois nouvelles vulnérabilités ont été découvertes dans Internet Explorer 5.5 et 6.

Description

  • Première vulnérabilité :

    Une mauvaise gestion des en-têtes des fichiers liés aux pages HTML permet à un utilisateur mal intentionné de mettre en ligne une page HTML comportant un fichier exécutable qui sera automatiquement lancé sans en informer le visiteur du site.

  • Seconde vulnérabilité :

    Cette vulnérabilité permet à un concepteur de site de récupérer des informations sur le poste de l'utilisateur parcourant ce site. (cette vulnérabilité est une variante de celle décrite dans l'avis CERTA-2001-AVI-027).

  • Troisième vulnérablité :

    Une mauvaise interprétation dans l'affichage des types de fichiers à télécharger permet à un concepteur de site de tromper l'utilisateur sur l'extension du fichier. (exemple extension .txt à la place de .exe).

Solution

Télécharger le correctif sur le site Microsoft :

(nota : Ce correctif prévu pour IE 5.5 SP2 et 6 corrige également les vulnérabilités précédemment publiées par Microsoft)

http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp

Documentation

Gestion détaillée du document

    le 17 décembre 2001
    version initiale.