Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- Internet Explorer 5.01 ;
- Internet Explorer 6 ;
- Internet Explorer 6 Service Pack 1 ;
- Internet Explorer 7.
Tous les systèmes d'exploitation Windows utilisant ces versions du navigateur sont potentiellement affectés.
Résumé
Des vulnérabilités ont été identifiées dans le navigateur Microsoft Internet Explorer. L'exploitation de celles-ci peuvent conduire une personne malveillante distante à récupérer des informations auxquelles elle ne devrait pas avoir accès ou à exécuter du code arbitraire sur le système vulnérable.
Description
Des vulnérabilités ont été identifiées dans le navigateur Microsoft Internet Explorer :
- le navigateur ne manipulerait pas correctement des appels de méthode pour des objets HTML, en particulier substringData() appliqué à des objets DOM spécialement construits ;
- le navigateur n'interprète pas correctement certains en-têtes de requêtes HTTP permettant à une personne distante de contourner la politique de sécurité du navigateur (same origin policy) via une page Web spécialement construite.
Solution
Se référer au bulletin de sécurité MS08-031 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-031 du 10 juin 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-031.mspx
- Bulletin de sécurité ZDI-08-039 du 10 juin 2008 : http://www.zerodayinitiative.com/advisories/ZDI-08-039
- Référence CVE CVE-2008-1442 https://www.cve.org/CVERecord?id=CVE-2008-1442
- Référence CVE CVE-2008-1544 https://www.cve.org/CVERecord?id=CVE-2008-1544
