Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Multiples vulnérabilités dans Internet Explorer (MS07-069)

décembre 2007 par HSC

Date : 12-12-2007

Criticité HSC : 4/5 - haute

Exploitation : Disponible mais non publique

Résumé : Quatre vulnérabilités ont été corrigées dans Internet Explorer, certaines permettant l’exécution de code arbitraire à distance.

Source : Microsoft

Objet : Microsoft IE

Description :

Deux types de vulnérabilités ont été découvertes dans Internet Explorer,
réparties sur quatre correctifs Microsoft, décrits ci-dessous.

Corruption de mémoire non initialisée (CVE 2007-3902, CVE 2007-3903, CVE
2007-5344) :

Trois vulnérabilités ont été découvertes dans la gestion de la mémoire
d’Internet Explorer. Certaines zones mémoire sont mal initialisées ou
mal libérées. Un attaquant pourrait forcer un utilisateur à charger une
page spécialement conçue pour exécuter du code arbitraire sous
l’identité de l’utilisateur. Les trois vulnérabilités touchent tous les
systèmes disposant d’Internet Explorer 6 et 7, la première touche
également Internet Explorer 5.01.

Corruption de mémoire dans les pages DHTML (CVE 2007-5347) :

Une erreur dans la gestion de certaines méthodes DHTML conduit à une
corruption de la mémoire. L’exploitation de cette faille, en forcant la
victime à naviguer sur une page particulière, permet l’exécution de code
arbitraire sous l’identité de la victime. D’après Microsoft cette
vulnérabilité est actuellement largement exploitée.

Note : Sur Windows 2003, toutes ces attaques sont plus difficilement
exploitables car le niveau de sécurité d’Internet Explorer est fixé par
défaut à un niveau élevé. L’exploitation nécessite donc que le site
malveillant soit reconnu comme site de confiance.

Source :
http://www.microsoft.com/technet/security/Bulletin/MS07-069.mspx


Voir les articles précédents

    

Voir les articles suivants