Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Internet Explorer 5.01 pour Windows ;
- Internet Explorer 6 pour Windows ;
- Internet Explorer 7 pour Windows.
Résumé
Plusieurs vulnérabilités affectant Microsoft Internet Explorer permettent d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités affectent Internet Explorer :
- certaines (CVE-2008-2254, CVE-2008-2255, CVE-2008-2257 et CVE-2008-2258), concernent l'accès dans certaines conditions à des zones de la mémoire non-initialisées ;
- une autre (CVE-2008-2256), concerne l'accès à des objets supprimés ou non-initialisés ;
- une dernière (CVE-2008-2259), affecte la fonctionnalité aperçu avant l'impression et consiste en une mauvaise gestion de la validation de certains arguments.
Toutes ces vulnérabilités peuvent être exploitées à distance par une personne malveillante pour exécuter du code arbitraire par le biais d'une page Web spécifiquement conçue.
Bien que ces vulnérabilités soient corrigées, il est bon de rappeler qu'utiliser un compte n'ayant pas des droits d'administration limite l'impact de l'exploitation de ces vulnérabilités.
Solution
Microsoft met à disposition un correctif cumulatif identifié comme critique pour Internet Explorer. Se référer au bulletin de sécurité MS08-045 pour l'obtention des correctifs (cf. section Documentation).Documentation
- Bulletin de sécurité Microsoft MS08-045 du 12 août 2008 :
http://www.microsoft.com/france/technet/security/Bulletin/MS08-045.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-045.mspx
- Référence CVE CVE-2008-2254 :
https://www.cve.org/CVERecord?id=CVE-2008-2254
- Référence CVE CVE-2008-2255 :
https://www.cve.org/CVERecord?id=CVE-2008-2255
- Référence CVE CVE-2008-2256 :
https://www.cve.org/CVERecord?id=CVE-2008-2256
- Référence CVE CVE-2008-2257 :
https://www.cve.org/CVERecord?id=CVE-2008-2257
- Référence CVE CVE-2008-2258 :
https://www.cve.org/CVERecord?id=CVE-2008-2258
- Référence CVE CVE-2008-2259 :
https://www.cve.org/CVERecord?id=CVE-2008-2259
