S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 août 2003
N° CERTA-2003-AVI-139
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Internet Explorer

Gestion du document

Référence CERTA-2003-AVI-139
Titre Multiples vulnérabilités dans Internet Explorer
Date de la première version21 août 2003
Date de la dernière version21 août 2003
Source(s) Bulletin de sécurité MS03-032 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Internet Explorer version 6.0 pour Windows Server 2003.
  • Microsoft Internet Explorer versions 5.01, 5.5 et 6.0 ;

Résumé

Trois vulnérabilités présentes dans Microsoft Internet Explorer peuvent être exploitées au moyen d'un site web ou d'un message électronique au format HTML habilement constitué et permettre ainsi à un utilisateur mal intentionné d'exécuter du code arbitraire sur la plate-forme vulnérable.

Description

  • Première vulnérabilité (CVE CAN-2003-0352) : Internet Explorer ne contrôle pas correctement le type de données spécifié dans l'attribut data de la balise object ;
  • seconde vulnérabilité (CVE CAN-2003-0351) : lors de l'accès aux données du cache, il est possible de contourner le cloisonnement mis en place au moyen des zones de sécurité au niveau d'Internet Explorer ;
  • troisième vulnérabilité (CVE CAN-2003-0350) : le contrôle ActiveX BR549.DLL présente une faille de type débordement de mémoire. Ce contrôle ActiveX est désactivé automatiquement lors de l'application du correctif.

Solution

Appliquer le correctif de l'éditeur :

http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Documentation

Gestion détaillée du document

    le 21 août 2003
    version initiale.