{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Internet Explorer 5.5 ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Internet Explorer 5.01 ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Internet Explorer 6.0.","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\n-   Premi\u00e8re vuln\u00e9rabilit\u00e9 :\n\n    Sur Internet Explorer une notion de zone permet d'accorder\n    diff\u00e9rents niveaux de confiance aux sites visit\u00e9s. Suivant ces\n    niveaux, plusieurs restrictions sont effectu\u00e9es pour l'ex\u00e9cution de\n    code ou autre. Par principe, les sites Internet distants sont\n    consid\u00e9r\u00e9s dans la Zone Internet. Un concepteur de site mal\n    intentionn\u00e9 peut cr\u00e9er un cookie compos\u00e9 de code HTML qui sera\n    d\u00e9pos\u00e9, lors de la visite sur le site, dans la machine cible.\n\n    Quand ce cookie sera \u00e0 nouveau consult\u00e9, le code qu'il contient sera\n    automatiquement ex\u00e9cut\u00e9 en Zone Locale et non Zone Internet\n    diminuant ainsi les restrictions.\n\n-   Seconde vuln\u00e9rabilit\u00e9 :\n\n    L'objet CodeBase permet de d\u00e9finir l'emplacement o\u00f9 un fichier,\n    r\u00e9cup\u00e9r\u00e9 par le biais d'une page Web, va \u00eatre enregistr\u00e9.\n\n    Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans cet objet permet d'ex\u00e9cuter\n    n'importe quel programme pr\u00e9sent sur une machine.\n\n    Un concepteur de site mal intentionn\u00e9 ayant r\u00e9alis\u00e9 une page web\n    exploitant cette vuln\u00e9rabilit\u00e9 pourrait faire ex\u00e9cuter n'importe\n    quel programme sur la machine cible. Cependant aucun param\u00e8tre ne\n    peut \u00eatre ajout\u00e9 \u00e0 la commande.\n\n## Contournement provisoire\n\nConcernant la premi\u00e8re vuln\u00e9rabilit\u00e9, il est conseill\u00e9 de d\u00e9sactiver les\ncookies.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n    http://www.microsoft.com/windows/ie/downloads/critical/Q319182/default.as\n","cves":[],"links":[{"title":"Bulletin Microsoft :","url":"http://www.mircosoft.com/technet/security/bulletin/MS02-015.asp"}],"reference":"CERTA-2002-AVI-066","revisions":[{"description":"version initiale.","revision_date":"2002-03-29T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"Att\u00e9nuation des param\u00e8tres de s\u00e9curit\u00e9"}],"summary":"Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Internet Explorer.\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 permet, par le biais d'un cookie\njudicieusement compos\u00e9, de changer la d\u00e9termination de zone d'Internet\nExplorer diminuant ainsi les restrictions.\n\nLa seconde vuln\u00e9rabilit\u00e9 permet, lors de la visite d'une page web\nhabilement con\u00e7ue, d'ex\u00e9cuter n'importe quel programme pr\u00e9sent sur la\nmachine cible.\n","title":"Vuln\u00e9rabilit\u00e9s dans Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin Microsoft MS02-015","url":null}]}