Risque

Exécution de code arbitraire.

Systèmes affectés

  • Microsoft Internet Explorer 5.01 ;
  • Microsoft Internet Explorer 5.5 ;
  • Microsoft Internet Explorer 6.0.

Les versions précédentes ne sont plus supportées.

Résumé

Deux vulnérabilités de Microsoft Internet Explorer permettent à un utilisateur mal intentionné d'exécuter à distance du code arbitraire.

Description

Deux nouvelles vulnérabilités ont été découvertes sur Internet Explorer concernant le modèle de sécurité entre les différents domaines Internet du navigateur.

La première vulnérabilité permet, en utilisant certaines boîtes de dialogue, d'obtenir des informations d'un autre domaine. Ceci est dû à un mauvais cloisonnement entre deux fenêtres de deux domaines différents ouvertes simultanément.

La deuxième vulnérabilité concerne la fonction showHelp(), utilisée pour afficher de l'aide au format HTML.

Ces deux vulnérabilités peuvent être exploitées par un utilisateur mal intentionné, par le biais d'un site web malicieux, pour exécuter du code arbitraire sur la machine cible sur laquelle est installé un navigateur Internet Explorer vulnérable.

Solution

Appliquer le correctif disponible sur le site de Microsoft (cf. Documentation).

Il s'agit d'un correctif cumulatif qui comprend toutes les mises à jour de sécurité pour les systèmes indiqués ci-dessus.

Documentation

Avis de sécurité Microsoft MS03-004 :

http://www.microsoft.com/technet/security/bulletin/ms03-004.asp