Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Internet Explorer 5.01 ;
- Microsoft Internet Explorer 6 ;
- Microsoft Internet Explorer 6 Service Pack 1 ;
- Microsoft Internet Explorer 7.
Il s'agit des versions courantes du navigateur fournies par défaut avec le système Windows.
Résumé
Plusieurs vulnérabilités ont été identifiées dans le navigateur Internet Explorer. Certaines d'entre elles peuvent être exploitées par le biais de pages Web spécialement construites, afin d'exécuter du code sur le système de l'utilisateur naviguant sur la page.
Description
Plusieurs vulnérabilités ont été identifiées dans le navigateur Internet Explorer.
- Internet Explorer ne manipulerait pas correctement des objets supprimés ou initialisés de manière incorrecte. Ces vulnérabilités peuvent être exploitées par l'exécution de contrôles ActiveX ou Active Scripting malveillants, au cours de la navigation sur une page Web ou à l'ouverture d'un courriel au format HTML.
- Une autre vulnérabilité concerne certains appels de méthode vers des objets HTML (DHTML). Elle provoquerait alors une corruption de la mémoire, et potentiellement l'exécution de code arbitraire sur le système vulnérable.
Solution
Se référer au bulletin de sécurité MS07-069 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-069 du 11 décembre 2007 http://www.microsoft.com/technet/security/Bulletin/MS07-069.mspx
- Référence CVE CVE-2007-3902 https://www.cve.org/CVERecord?id=CVE-2007-3902
- Référence CVE CVE-2007-3903 https://www.cve.org/CVERecord?id=CVE-2007-3903
- Référence CVE CVE-2007-5344 https://www.cve.org/CVERecord?id=CVE-2007-5344
- Référence CVE CVE-2007-5347 https://www.cve.org/CVERecord?id=CVE-2007-5347
