{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Internet Explorer 5.01 Service Pack 4 ;","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Internet Explorer 6 (Service Pack 1 inclus).","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans les versions 5.01\net 6 de Microsoft Internet Explorer. Elles pourraient \u00eatre exploit\u00e9es\npar une personne malveillante afin d'obtenir des informations\nconfidentielles, ou d'ex\u00e9cuter des commandes arbitraires sur le syst\u00e8me\nayant une version du navigateur vuln\u00e9rable. Parmi celles-ci :\n\n-   une mauvaise manipulation des informations de style d'une page HTML,\n    donn\u00e9es par CSS (pour Cascading Style Sheet). Une personne\n    malveillante peut construire une page web HMTL particuli\u00e8re :\n    lorsque un internaute utilisant un navigateur vuln\u00e9rable parcourt\n    cette page, cela entra\u00eene l'ex\u00e9cution de commandes arbitraires sur\n    son syst\u00e8me.\n-   de mauvaises interpr\u00e9tations d'objets COM utilis\u00e9s par les ActiveX.\n-   une application non correcte des domaines de s\u00e9curit\u00e9 lors de\n    l'ex\u00e9cution de scripts (Javascript par exemple). Ceux-ci pourraient,\n    sous certaines conditions, acc\u00e9der \u00e0 des ressources locales du\n    syst\u00e8me ayant un navigateur vuln\u00e9rable.\n-   une mauvaise interpr\u00e9tation de pages Web lorsqu'une redirection\n    intervient, et qu'elle pointe vers une page utilisant une technique\n    de compression (gzip par exemple). Ceci peut \u00eatre utilis\u00e9 par une\n    personne malveillante pour obtenir des informations confidentielles\n    sur le syst\u00e8me ayant un navigateur vuln\u00e9rable.\n-   une manipulation non correcte de certaines combinaisons de mise en\n    page HTML. Celle-ci ne n\u00e9cessite pas l'activation de scripts, mais\n    ces derniers favorisent une exploitation fructueuse de la part d'une\n    personne malveillante. Il faut que l'utilisateur visite une page Web\n    construite de fa\u00e7on particuli\u00e8re.\n-   une interpr\u00e9tation non correcte de certains liens ftp. Une personne\n    malveillante peut construire une page particuli\u00e8re utilisant cette\n    vuln\u00e9rabilit\u00e9, avec un lien ftp donn\u00e9. Il pourrait lui-m\u00eame envoyer\n    des commandes ftp au serveur, et donc contourner la politique de\n    s\u00e9curit\u00e9 ou \u00e9lever ses privil\u00e8ges.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\nLa premi\u00e8re version du correctif \u00e9tant vuln\u00e9rable (cf alerte du CERTA du\n24 ao\u00fbt 2006), l'\u00e9diteur \u00e0 mis \u00e0 disposition une seconde version du\ncorrectif le 25 ao\u00fbt 2006 et recommande d'appliquer ce correctif au plus\nvite.\n\nLa seconde version du correctif \u00e9tant vuln\u00e9rable, l'\u00e9diteur a mis \u00e0\ndisposition une nouvelle version du correctif le 12 septembre 2006, et\nrecommande d'appliquer ce dernier en compl\u00e9ment des pr\u00e9c\u00e9dents.\n","cves":[{"name":"CVE-2006-3637","url":"https://www.cve.org/CVERecord?id=CVE-2006-3637"},{"name":"CVE-2006-3280","url":"https://www.cve.org/CVERecord?id=CVE-2006-3280"},{"name":"CVE-2006-3640","url":"https://www.cve.org/CVERecord?id=CVE-2006-3640"},{"name":"CVE-2006-3638","url":"https://www.cve.org/CVERecord?id=CVE-2006-3638"},{"name":"CVE-2006-3451","url":"https://www.cve.org/CVERecord?id=CVE-2006-3451"},{"name":"CVE-2006-3450","url":"https://www.cve.org/CVERecord?id=CVE-2006-3450"},{"name":"CVE-2004-1166","url":"https://www.cve.org/CVERecord?id=CVE-2004-1166"},{"name":"CVE-2006-3639","url":"https://www.cve.org/CVERecord?id=CVE-2006-3639"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS06-042 du 09 ao\u00fbt 2006 :","url":"http://www.microsoft.com/france/technet/security/Bulletin/MS06-042.mspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS06-042 du 09 ao\u00fbt 2006 :","url":"http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx"},{"title":"Bulletin d'alerte CERTA-2006-ALE-010 du 24 ao\u00fbt 2006 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2006-ALE-010/index.html"},{"title":"Bulletin de s\u00e9curit\u00e9 eEye EEYEB-AD20060912 du 12 septembre    2006 :","url":"http://research.eeye.com/html/advisories/published/AD20060912.html"}],"reference":"CERTA-2006-AVI-340","revisions":[{"description":"version initiale.","revision_date":"2006-08-09T00:00:00.000000"},{"description":"modification li\u00e9e \u00e0 la seconde version du correctif.","revision_date":"2006-08-25T00:00:00.000000"},{"description":"modification li\u00e9e \u00e0 la mise \u00e0 jour du bulletin MS06-042.","revision_date":"2006-09-12T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans les versions 5.01\net 6 de Microsoft Internet Explorer. Celles-ci pourraient \u00eatre\nexploit\u00e9es par une personne malveillante afin d'obtenir des informations\nconfidentielles, ou d'ex\u00e9cuter des commandes arbitraires sur le syst\u00e8me\nayant une version du navigateur vuln\u00e9rable.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS06-042 du 08 ao\u00fbt 2006","url":null}]}