S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 juin 2003
N° CERTA-2003-AVI-097
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Microsoft Internet Explorer

Gestion du document

Référence CERTA-2003-AVI-097
Titre Multiples vulnérabilités dans Microsoft Internet Explorer
Date de la première version05 juin 2003
Date de la dernière version05 juin 2003
Source(s) Bulletin de sécurité MS03-020 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Internet Explorer version 6.0 pour Windows Server 2003.
  • Microsoft Internet Explorer versions 5.01, 5.5, 6.0 ;

Résumé

Deux vulnérabilités présentes dans Microsoft Internet Explorer peuvent être exploitées au moyen d'un site web ou d'un message électronique au format HTML habilement constitué et permettre à un utilisateur mal intentionné d'exécuter du code arbitraire sur la plate-forme vulnérable.

Description

  • Première vulnérabilité (CVE CAN-2003-0344) : une vulnérabilité de type débordement de mémoire est présente dans le code traitant la propriété type de la balise object d'un document HTML ;
  • seconde vulnérabilité (CVE CAN-2003-0309) : Internet Explorer ne gère pas correctement des documents HTML contenant de nombreuses requêtes de téléchargement de fichier.

Solution

Se référer au bulletin de sécurité de Microsoft pour l'application des correctifs :

http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

Gestion détaillée du document

    le 05 juin 2003
    version initiale.