CERTA : Multiples vulnérabilités d’Internet Explorer
octobre 2007 par CERT-FR
– 1 Risque
Exécution de code arbitraire à distance.
– 2 Systèmes affectés
Plusieurs versions d’Internet Explorer :
* 5.01 SP4 sur Windows 2000 SP4 ;
* 6 SP1 sur Windows 2000 SP4 ;
* 6 sur Windows XP SP2, XP Pro x64, XP Pro x64 SP2, 2003 SP1 et SP2, 2003
x64, 2003 x64 SP2 et pour Itanium ;
* 7 sur Windows XP SP2, XP Pro x64, XP Pro x64 SP2, 2003 SP1 et SP2, 2003
x64, 2003 x64 SP2 et pour Itanium, et sur Vista.
– 3 Résumé
Plusieurs vulnérabilités affectent le navigateur Internet Explorer. Elles
permettent à un utilisateur malveillant d’exécuter du code arbitraire à
distance sur une machine vulnérable.
– 4 Description
Plusieurs vulnérabilités affectent le navigateur Internet Explorer :
* plusieurs vulnérabilités permettent à un attaquant d’afficher des
informations usurpées dans la barre d’adresses. Elle peuvent se rapporter à
un site de confiance tandis que le contenu de la fenêtre principale vient
du site de l’attaquant ;
* une autre vulnérabilité provient du traitement des erreurs. Une corruption
de la mémoire est possible dans certaines conditions. Cette corruption peut
être exploitée au travers d’une page web spécialement conçue et permet à un
utilisateur malveillant l’exécution de code arbitraire à distance.
– 5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
– 6 Documentation
* Bulletin de sécurité Microsoft MS07-057 du 09 octobre 2007 :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-057.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-057.mspx
* Référence CVE CVE-2007-1091 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1091
* Référence CVE CVE-2007-3826 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3826
* Référence CVE CVE-2007-3892 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3892
* Référence CVE CVE-2007-3893 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3893