Risques

  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

Les versions suivantes d'Internet Explorer sont affectées :

  • Internet Explorer 5.01 Service Pack 3 sur la plate-forme Windows 2000 SP3 ;
  • Internet Explorer 5.01 Service Pack 4 sur la plate-forme Windows 2000 SP4 ;
  • Internet Explorer 5.5 Service Pack 2 sur la plate-forme Windows Me ;
  • Internet Explorer 6 sur la plate-forme Windows XP ;
  • Internet Explorer 6 SP 1 sur les plates-formes Windows 2000 Server SP3 et SP4, Windows XP et Windows XP SP1 ;
  • Internet Explorer 6 SP 1 sur les plates-formes Windows NT 4.0 Server SP6a, Windows Server 4.0 Terminal Edition SP6, Windows 98 et SE , Windows Me ;
  • Internet Explorer 6 pour Windows XP SP 1 (64-Bit Edition) ;
  • Internet Explorer 6 pour Windows Server 2003 ;
  • Internet Explorer 6 pour Windows Server 2003 64-Bit Edition et Windows XP 64-Bit Edition Version 2003 ;
  • Internet Explorer 6 pour Windows XP SP2.

Description

Plusieurs vulnérabilités ont été découvertes dans certaines versions d'Internet Explorer :

  • une vulnérabilité dans la gestion des fichiers CSS (Cascading Style Sheets) permet l'exécution de code arbitraire à distance via une page HTML malicieusement construite (vulnérabilité CAN-2004-0842) ;
  • une vulnérabilité dans le modèle de sécurité d'Internet Explorer permet à un individu mal intentionné d'exécuter du code arbitraire dans la zone de sécurité Local Machine via un site malicieux (vulnérabilité CAN-2004-0727) ;
  • une vulnérabilité est présente dans l'Install Engine qui permet l'exécution de code arbitraire à distance sur le système affecté (vulnérabilité CAN-2004-0216 );
  • une vulnérabilité dans la gestion des événements de la fonction glisser et d�poser d'Internet Explorer permet à un individu mal intentionné d'élever ses privilèges via une page malicieuse au format HTML (vulnérabilité CAN-2004-0839) ;
  • deux vulnérabilités permettent d'afficher une adresse (URL) incorrecte dans la barre d'adresse du navigateur (vulnérabilités CAN-2004-0844 et CAN-2004-0843) ;
  • une vulnérabilité dans la gestion des scripts dans certaines balises (image tags) permet à un individu mal intentionné d'exécuter du code arbitraire via un site malicieux (vulnérabilité CAN-2004-0841) ;
  • une vulnérabilité dans la gestion du cache pour les sites SSL (Secure Socket Layer) permet à un individu mal intentionné d'exécuter du code arbitraire (vulnérabilité CAN-2004-0845).

Solution

  • Bulletin de sécurité Microsoft MS04-038 du 12 octobre 2004 :

    http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx
    
  • Référence CVE CAN-2004-0842 :

    https://www.cve.org/CVERecord?id=CAN-2004-0842
    
  • Référence CVE CAN-2004-0727 :

    https://www.cve.org/CVERecord?id=CAN-2004-0727
    
  • Référence CVE CAN-2004-0216 :

    https://www.cve.org/CVERecord?id=CAN-2004-0216
    
  • Référence CVE CAN-2004-0839 :

    https://www.cve.org/CVERecord?id=CAN-2004-0839
    
  • Référence CVE CAN-2004-0844 :

    https://www.cve.org/CVERecord?id=CAN-2004-0844
    
  • Référence CVE CAN-2004-0843 :

    https://www.cve.org/CVERecord?id=CAN-2004-0843
    
  • Référence CVE CAN-2004-0841 :

    https://www.cve.org/CVERecord?id=CAN-2004-0841
    
  • Référence CVE CAN-2004-0845 :

    https://www.cve.org/CVERecord?id=CAN-2004-0845