Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Internet Explorer 5.01 pour Windows ;
- Internet Explorer 6 pour Windows ;
- Internet Explorer 7 pour Windows.
Résumé
Plusieurs vulnérabilités affectant Microsoft Internet Explorer permettent d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités affectent Internet Explorer :
- certaines (CVE-2008-2254, CVE-2008-2255, CVE-2008-2257 et CVE-2008-2258), concernent l'accès dans certaines conditions à des zones de la mémoire non-initialisées ;
- une autre (CVE-2008-2256), concerne l'accès à des objets supprimés ou non-initialisés ;
- une dernière (CVE-2008-2259), affecte la fonctionnalité aperçu avant l'impression et consiste en une mauvaise gestion de la validation de certains arguments.
Toutes ces vulnérabilités peuvent être exploitées à distance par une personne malveillante pour exécuter du code arbitraire par le biais d'une page Web spécifiquement conçue.
Bien que ces vulnérabilités soient corrigées, il est bon de rappeler qu'utiliser un compte n'ayant pas des droits d'administration limite l'impact de l'exploitation de ces vulnérabilités.
Solution
Microsoft met à disposition un correctif cumulatif identifié comme critique pour Internet Explorer. Se référer au bulletin de sécurité MS08-045 pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-045 du 12 août 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-045.mspx
- Référence CVE CVE-2008-2254 https://www.cve.org/CVERecord?id=CVE-2008-2254
- Référence CVE CVE-2008-2255 https://www.cve.org/CVERecord?id=CVE-2008-2255
- Référence CVE CVE-2008-2256 https://www.cve.org/CVERecord?id=CVE-2008-2256
- Référence CVE CVE-2008-2257 https://www.cve.org/CVERecord?id=CVE-2008-2257
- Référence CVE CVE-2008-2258 https://www.cve.org/CVERecord?id=CVE-2008-2258
- Référence CVE CVE-2008-2259 https://www.cve.org/CVERecord?id=CVE-2008-2259
