XMCO : Compromission d’un système Windows via plusieurs failles d’Internet Explorer (MS09-019)
juin 2009 par XMCO PARTNERS
Cumulative Security Update for Internet Explorer (969897)
– Date : 10 Juin 2009
– Plateforme : Windows
– Programme : Internet Explorer
– Gravité : Elevée
– Exploitation : Avec une page web malicieuse
– Dommages :
Contournement de sécurité
Accès au système
– Description :
Plusieurs vulnérabilités été corrigées au sein du navigateur Internet Explorer. L’exploitation de celles-ci permettait à un attaquant de compromettre le système.
/Les failles de sécurité résultaient principalement de débordements de mémoire lors du traitement de certains objets non ou mal initialisés. Un pirate pouvait exploiter ces failles de sécurité afin d’exécuter un code malicieux.
Une autre vulnérabilité permettait de contourner les protections dites de "Cross Domain" (procédure de sécurité interdisant d’effectuer des requêtes Ajax sur un autre site que celui visité). Un pirate pouvait alors récupérer le contenu de sites visités par la victime.
Note : Ce bulletin remplace le correctif MS09-014 (pour Internet Explorer 6 et Internet Explorer 7).
– Vulnérable :
* Windows 2000 SP4 avec Internet Explorer 5.01 SP4
* Windows 2000 SP4 avec Internet Explorer 6 SP1
* Windows XP SP2/SP3 avec Internet Explorer 6
* Windows XP Professional x64 Edition SP2 avec Internet Explorer 6
* Windows Server 2003 SP2 avec Internet Explorer 6
* Windows Server 2003 x64 Edition SP2 avec Internet Explorer 6
* Windows Server 2003 avec SP2 pour Itanium avec Internet Explorer 6
* Windows XP SP2/SP3 avec Internet Explorer 7
* Windows XP Professional x64 Edition SP2 avec Internet Explorer 7
* Windows Server 2003 SP2 avec Internet Explorer 7
* Windows Server 2003 x64 Edition SP2 avec Internet Explorer 7
* Windows Server 2003 avec SP2 pour Itanium avec Internet Explorer 7
* Windows Vista (avec ou sans Service Pack 1) avec Internet Explorer 7
* Windows Vista SP2 avec Internet Explorer 7
* Windows Vista x64 Edition (avec ou sans Service Pack 1) avec Internet
Explorer 7
* Windows Vista x64 Edition SP2 avec Internet Explorer 7
* Windows Server 2008 pour système 32-bits avec Internet Explorer 7
* Windows Server 2008 pour système 32-bits SP2 avec Internet Explorer
7
* Windows Server 2008 pour x64 avec Internet Explorer 7
* Windows Server 2008 pour x64 SP2 avec Internet Explorer 7
* Windows Server 2008 pour Itanium avec Internet Explorer 7
* Windows Server 2008 pour Itanium SP2 avec Internet Explorer 7
* Windows XP SP2/SP3 avec Internet Explorer 8
* Windows XP Professional x64 Edition SP2 avec Internet Explorer 8
* Windows Server 2003 SP2 avec Internet Explorer 8
* Windows Server 2003 x64 Edition SP2 avec Internet Explorer 8
* Windows Vista (avec ou sans Service Pack 1 or 2) avec Internet Explorer 8
* Windows Vista x64 Edition (avec ou sans Service Pack 1 or 2) avec
Internet Explorer 8
* Windows Server 2008 pour système 32-bits (avec ou sans Service Pack
2) avec Internet Explorer 8
* Windows Server 2008 pour x64 (avec ou sans Service Pack 2) Internet Explorer 8
– Référence :
[EN] http://www.microsoft.com/technet/security/Bulletin/MS09-019.mspx
[FR] http://www.microsoft.com/france/technet/security/Bulletin/MS09-019.mspx
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1140
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1141
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1528
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1529
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1530
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1531
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1532
– Correction :
Nous vous recommandons d’appliquer les correctifs disponible sur le site de l’éditeur :
* Windows 2000 SP4 avec Internet Explorer 5.01 SP4 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=d645ad82-13c3-4030-808b-834e86ed3298
* Windows 2000 SP4 avec Internet Explorer 6 SP1 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=fe8b3796-a407-4f41-89eb-35b4bcc24ff6
* Windows XP SP2/SP3 avec Internet Explorer 6 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=3d7f63ee-d7c3-48a5-902e-60625405e97d
* Windows XP Professional x64 Edition SP2 avec Internet Explorer 6 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=088f70eb-c5c5-426a-880a-18ed386d0b56
* Windows Server 2003 SP2 avec Internet Explorer 6 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=72a23752-86fb-4cc9-ab8e-63ffdfae5bec
* Windows Server 2003 x64 Edition SP2 avec Internet Explorer 6 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=2a03d3c4-e39d-43a3-8d42-216e9551be96
* Windows Server 2003 avec SP2 pour Itanium avec Internet Explorer 6 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=58efde2c-e0b8-4259-b19e-80564b834882
* Windows XP SP2/SP3 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=827b735c-660b-4723-b688-3297e107153a
* Windows XP Professional x64 Edition SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=e5d2c81e-ffab-4e3b-a59a-a55000597213
* Windows Server 2003 SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=a980b867-c67f-4c61-b6db-e55c2ca68dc0
* Windows Server 2003 x64 Edition SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=5e7d6372-9c8c-449d-88fd-afd4f92ad9e6
* Windows Server 2003 avec SP2 pour Itanium avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=a2d2907e-67ae-44a4-a805-8670e659ea57
* Windows Vista (avec ou sans Service Pack 1) avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=e60215c3-b8b9-4e45-9d9f-b3fb0b47cce1
* Windows Vista SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=e60215c3-b8b9-4e45-9d9f-b3fb0b47cce1
* Windows Vista x64 Edition (avec ou sans Service Pack 1) avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=88185088-8c2c-4bc6-89b2-87f4d4849cf7
* Windows Vista x64 Edition SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=88185088-8c2c-4bc6-89b2-87f4d4849cf7
* Windows Server 2008 pour système 32-bits avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=a0e3f975-57da-43fa-ac12-3d14fd6ce939
* Windows Server 2008 pour système 32-bits SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=a0e3f975-57da-43fa-ac12-3d14fd6ce939
* Windows Server 2008 pour x64 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=758edce7-2a82-4b2e-bd71-5b7075cc4b17
* Windows Server 2008 pour x64 SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=758edce7-2a82-4b2e-bd71-5b7075cc4b17
* Windows Server 2008 pour Itanium avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=67d4c189-030d-42eb-98b9-7957ccd92592
* Windows Server 2008 pour Itanium SP2 avec Internet Explorer 7 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=67d4c189-030d-42eb-98b9-7957ccd92592
* Windows XP SP2/SP3 avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=d9e27ce1-4e7c-437f-9477-e7805a33da08
* Windows XP Professional x64 Edition SP2 avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=a24aedf0-7a31-4ee8-a9a6-998f1160c700
* Windows Server 2003 SP2 avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=298143f2-f37a-4a2c-86ac-9804d4ff1dad
* Windows Server 2003 x64 Edition SP2 avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=4a5401d7-ca97-4734-a0e9-d7ffe0777e34
* Windows Vista (avec ou sans Service Pack 1 or 2) avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=6f2730e9-b4fc-4f20-96cf-73f1be63f374
* Windows Vista x64 Edition (avec ou sans Service Pack 1 or 2) avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=5edb14f7-11ec-4180-9f0f-b2673f1c8d83
* Windows Server 2008 pour système 32-bits (avec ou sans Service Pack 2) avec Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=aaad301c-d232-4733-a0df-8e5d41bbfde8
* Windows Server 2008 pour x64 (avec ou sans Service Pack 2) Internet Explorer 8 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=faac92d4-4a2b-4bb5-8bd1-1519a9fa8147
– Lien extranet XMCO Partners :
http://xmcopartners.com/veilleclient/index.xmco?nv=1244623612