Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Internet Explorer, version 6,7 et 8.
Résumé
Plusieurs vulnérabilités d'Internet Explorer permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
Quatre vulnérabilités d'Internet Explorer viennent d'être corrigées :
- la première concerne le traitement récursif des feuilles de style (CSS). Elle est décrite dans l'alerte CERTA-2010-ALE-021 (voir section Documentation) ;
- deux autres sont relatives à l'utilisation d'objets non initialisés ou effacés ;
- la dernière provient de la recherche et du chargement des bibliothèques dynamiques (DLL). Cette vulnérabilité est décrite dans le bulletin d'actualité CERTA-2010-ACT-034 (voir section Documentation).
Chacune de ces vulnérabilités permet à un utilisateur malveillant d'exécuter du code arbitraire à distance avec les droits de l'utilisateur d'Internet Explorer.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS11-003 du 08 février 2011 http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx
- Document du CERTA CERTA-2010-ACT-034 du 26 août 2010 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-034/index.html
- Document du CERTA CERTA-2010-ALE-021 du 12 janvier 2011 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-021/index.html
- Référence CVE CVE-2010-3971 https://www.cve.org/CVERecord?id=CVE-2010-3971
- Référence CVE CVE-2011-0035 https://www.cve.org/CVERecord?id=CVE-2011-0035
- Référence CVE CVE-2011-0036 https://www.cve.org/CVERecord?id=CVE-2011-0036
- Référence CVE CVE-2011-0038 https://www.cve.org/CVERecord?id=CVE-2011-0038
