Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Compromission d’un système Windows à distance via la visite d’une page web spécialement conçue avec Internet Explorer (MS10-035)

juin 2010 par CERT-XMCO

* Microsoft Security Bulletin MS10-035 - Critical Cumulative Security Update for Internet Explorer (KB982381)

 Date : 09 Juin 2010

 Plateforme : Windows

 Programme : Microsoft Internet Explorer

 Gravité : Elevée

 Exploitation : Avec une page web malicieuse

 Dommages :

Vol d’informations

Accès au système

Déni de service

 Description :
Microsoft vient de corriger plusieurs vulnérabilités affectant Internet Explorer. L’exploitation de celles-ci permettait à un attaquant d’accéder à des informations sensibles, voire de prendre le contrôle du système à distance.

La première faille de sécurité était liée à la gestion du cache et des requêtes inter-domaines. Un pirate pouvait exploiter cette faille de sécurité afin d’accéder à des informations sensibles [1].

La deuxième vulnérabilité était liée à la méthode JavaScript "toStaticHTML". Le traitement et la validation de certaines chaînes de caractères spécialement formées pouvaient être exploités afin de mener des attaques du type "Cross-Site Scripting" (XSS) afin d’accéder aux informations d’une victime [2].

Les failles de sécurité suivante étaient liées à des corruptions de mémoire lors d’une tentative d’accès par Internet Explorer à une zone mémoire non initialisée ou libérée. L’exploitation de ces failles de sécurité permettait à un pirate de prendre le contrôle d’un système, et nécessitait qu’un pirate incite un utilisateur à accéder à une page internet spécialement conçue [3-4-5-6].(CVE-2010-1259, CVE-2010-1260, CVE-2010-1261, CVE-2010-1262)

Note : l’application de ce correctif nécessite le redémarrage du système.
Note 2 : ce bulletin remplace le correctif MS10-018.

 Vulnérable :
* Internet Explorer 5.01 SP4
* Internet Explorer 6 SP1
* Internet Explorer 6
* Internet Explorer 7
* Internet Explorer 8

 Référence :
[EN] http://www.microsoft.com/technet/security/bulletin/ms10-035.mspx
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-035.mspx

 Référence CVE :
[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0255
[2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1257
[3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1259
[4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1260
[5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1261
[6] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1262

 Correction : Nous vous recommandons d’installer le correctif MS10-035 disponible sur le site de l’éditeur aux adresse suivantes :

* Microsoft Windows 2000 SP4
 Internet Explorer 5.01 SP4

http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6c09e5-c655-41a0-a133-78d55267a527

 Internet Explorer 6 SP1

http://www.microsoft.com/downloads/details.aspx?FamilyID=e2f27eeb-54be-40be-a00e-72867090b8e7

* Windows XP SP2 et Windows XP SP3
 Internet Explorer 6

http://www.microsoft.com/downloads/details.aspx?FamilyID=bfe87761-ed9e-4fec-a393-d7fddb919db4

 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=fc02fc7e-ee85-4377-b54c-012fa60a8c9c

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=9cff9aba-7743-4c33-87c7-37d06ed60a21

* Windows XP Professionnel Édition x64 SP2
 Internet Explorer 6

http://www.microsoft.com/downloads/details.aspx?FamilyID=7780af61-a206-49aa-a805-a49bdcbb5419

 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=6c7cda29-161e-49b4-976a-c718c0aa11a0

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=37cd7533-ddad-4d0d-85c0-1491308e1ff8

* Windows Server 2003 SP2
 Internet Explorer 6

http://www.microsoft.com/downloads/details.aspx?FamilyID=bfb9acdb-2d9c-4c22-963c-8b9ce247350f

 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=f0187b69-3ed9-494c-89f1-90a35e22078c

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=ebab6101-fcf1-4842-b22d-893a20c1c10f

* Windows Server 2003 Édition x64 SP2
 Internet Explorer 6

http://www.microsoft.com/downloads/details.aspx?FamilyID=81644c43-22c0-4c61-b395-3264516516a6

 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=50b8ee2e-31f8-473d-83d1-822c89c28070

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=87e13912-f861-4985-ab9d-260a5898dfd4

* Windows Server 2003 avec SP2 pour systèmes Itanium
 Internet Explorer 6

http://www.microsoft.com/downloads/details.aspx?FamilyID=abcdc3bb-4659-4b63-a9bd-e448f8bed90a

 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=123bf547-9005-451f-9eba-97a68037304e

* Windows Vista SP1 et Windows Vista SP2
 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=661c9528-917d-4df6-a330-c89f39dc5ce4

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=640f9216-3e99-46b6-aac8-cd051eedad3c

* Windows Vista Édition x64 SP1 et Windows Vista Édition x64 SP2
 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=d9f5feb0-fa1a-40c1-9971-9b8af6f0b4a5

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=3076d1ea-7716-4b54-8ec4-660374f14dcb

* Windows Server 2008 et Windows Server 2008 SP2 pour systèmes 32 bits
 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=bed14484-7fc5-455d-b996-3192467543cc

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=24ed08c7-a474-4458-8269-3b9de5e22385

* Windows Server 2008 et Windows Server 2008 SP2 pour systèmes x64
 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=a24554e8-213b-4c24-b062-ec424d64128e

 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=cf84469b-ce6d-45e8-8336-7b4501c6cf91

* Windows Server 2008 et Windows Server 2008 SP2 pour systèmes Itanium
 Internet Explorer 7

http://www.microsoft.com/downloads/details.aspx?FamilyID=dee5c0c0-b844-490d-8daf-6e6ec8a39e35

* Windows 7 pour systèmes 32 bits
 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=5c835885-9375-4882-a92f-4d4cfcacc005

* Windows 7 pour systèmes x64
 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=5cfc5776-0c6b-4092-bc98-94df077c60d8

* Windows Server 2008 R2 pour systèmes x64
 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=7c4ff5ae-eadd-431e-b982-d5f179efb8c0

* Windows Server 2008 R2 pour systèmes Itanium
 Internet Explorer 8

http://www.microsoft.com/downloads/details.aspx?familyid=52c04d85-911f-47be-852e-c9bb4934744d

 Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0719


Voir les articles précédents

    

Voir les articles suivants