Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Internet Explorer 5.01 ;
- Microsoft Internet Explorer 6 ;
- Microsoft Internet Explorer 7 ;
- Microsoft Internet Explorer 7 sous Windows Vista n'est pas affecté.
Résumé
De multiples vulnérabilités permettant l'exécution de code arbitraire à distance ont été découvertes dans la majorité des versions d'Internet Explorer.
Description
Trois vulnérabilités ont été découvertes dans la majorité des versions d'Internet Explorer :
- les deux premières vulnérabilités résultent d'un mauvais traitement des objets COM et permettent, via une page web spécialement conçue, d'exécuter du code arbitraire à distance ;
- la dernière résulte d'une mauvaise interprétation par la bibliothèque wininet.dll de certaines réponses FTP. L'exploitation de cette vulnérabilité permet d'obtenir un accès au système avec les droits de l'utilisateur local.
Ces vulnérabilités ne semblent pas toucher la version d'Internet Explorer 7 disponible sous Windows Vista.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-016 du 13 février 2007 : http://www.microsoft.com/france/technet/security/bulletin/MS07-016.mspx
- Bulletin de sécurité Microsoft MS07-016 du 13 février 2007 : http://www.microsoft.com/technet/security/Bulletin/MS07-016.mspx
- Référence CVE CVE-2006-4697 https://www.cve.org/CVERecord?id=CVE-2006-4697
- Référence CVE CVE-2007-0217 https://www.cve.org/CVERecord?id=CVE-2007-0217
- Référence CVE CVE-2007-0219 https://www.cve.org/CVERecord?id=CVE-2007-0219