HSC : Vulnérabilité critique dans Internet Explorer
décembre 2008 par HSC
Date : 17-12-2008
Criticité HSC : 5/5 - extreme
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Une vulnérabilité critique a été détectée dans Internet Explorer 7 et touche également toutes les versions précédentes. Son exploitation permet d’exécuter du code arbitraire à distance sur le poste de la victime, avec les droits de l’utilisateur ayant lancé le navigateur.
Source : Microsoft
Objet : Microsoft IE, Microsoft IE 4.0, Microsoft IE 5.0, Microsoft IE 5.01 SP4, Microsoft IE 7, Microsoft IE6 SP1, Microsoft IE6 SP2
Description :
Microsoft a identifié une vulnérabilité impactant toutes les versions
d’Internet Explorer, qui concerne l’analyse de balises XML dans
mshtml.dll (MS08-078 - CVE-2008-4844).
L’exploitation de cette faille permet l’exécution de code arbitraire à
distance avec les droits de l’utilisateur courant. Ceci nécessite que
l’utilisateur visite un site contenant du code malveillant.
Cette vulnérabilité est exploitée activement sur Internet et est
utilisée comme vecteur pour installer des logiciels malveillants sur les
postes compromis. Des codes d’exploitation sont sortis publiquement
depuis le 10 décembre 2008.
Références :
http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
http://www.microsoft.com/technet/security/advisory/961051.mspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4844
http://vil.nai.com/vil/content/v_153557.htm