Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Internet Explorer 5.01 ;
- Microsoft Internet Explorer 6.
Résumé
De multiples vulnérabilités présentes dans Microsoft Internet Explorer permettent l'exécution de code arbitraire à distance ou le contournement de la politique de sécurité.
Description
La première vulnérabilité exploite une mauvaise gestion de la libération de la mémoire dans certaines situations. Une personne malintentionnée peut utiliser cette vulnérabilité afin d'exécuter du code arbitraire à distance par le biais d'une page Web spécialement conçue.
La seconde vulnérabilité réside dans une mauvaise gestion des appels des fonctions des scripts au format DHTML. Un utilisateur malveillant peut exploiter cette vulnérabilité afin d'exécuter du code arbitraire à distance par le biais d'une page Web spécialement conçue.
La troisième vulnérabilité consiste en une mauvaise gestion des opérations Glisser-Déplacer (Drag and Drop) dans certaines conditions. Un utilisateur malveillant exploitant cette vulnérabilité pourrait accéder à certains fichiers présents sur l'ordinateur de sa victime.
La quatrième vulnérabilité permet de divulguer le contenu mis en cache dans le dossier Temporay Internet Files. Une personne malveillante exploitant cette vulnérabilité pourrait accéder à certains fichiers présents sur l'ordinateur de sa victime par le biais d'une page Web spécialement conçue. L'exploitation de cette vulnérabilité nécessite une action de l'utilisateur.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-072 du 12 décembre 2006 http://www.microsoft.com/technet/security/Bulletin/MS06-072.mspx
- Référence CVE CVE-2006-5577 https://www.cve.org/CVERecord?id=CVE-2006-5577
- Référence CVE CVE-2006-5578 https://www.cve.org/CVERecord?id=CVE-2006-5578
- Référence CVE CVE-2006-5579 https://www.cve.org/CVERecord?id=CVE-2006-5579
- Référence CVE CVE-2006-5581 https://www.cve.org/CVERecord?id=CVE-2006-5581