Objet: Multiples vulnérabilités dans Microsoft Internet Explorer

Résumé

Cette mise à jour de sécurité corrige six vulnérabilités dont cinq signalées confidentiellement et une révélée publiquement. Ces vulnérabilités permettent d'exécuter du code arbitraire à distance à l'aide d'un document HTML spécifiquement écrit.

Description

Cette mise à jour de sécurité corrige six vulnérabilités . Les quatre premières, listées ci-dessous, permettent à un attaquant ou à un script d'accéder à une fenêtre de navigation dans un autre domaine ou une autre zone d'Internet Explorer.

• vulnérabilité inter-domaines liée à la propriété "emplacement" (Window Location) de la fenêtre de navigation - CVE-2008-2947;
• vulnérabilité inter-domaines liée à l'élément HTML - CVE-2008-3472;
• vulnérabilité inter-domaines liée à la gestion des événements - CVE-2008-3473;
• vulnérabilité de divulgation d'informations inter-domaines - CVE-2008-3474.

Les deux dernières, listées ci-dessous, concernent l'accés à de la mémoire ou des objets HTML non initialisés et elles permettent l'exécution de code arbitraire à distance :

• vulnérabilité de corruption de mémoire non initialisée - CVE-2008-3475;
• vulnérabilité de corruption de mémoire dans les objets HTML - CVE-2008-3476.

Solution

Se référer au bulletin Microsoft MS08-058 du 14 octobre 2008 pour l'obtention des correctifs (cf. section Documentation).