CERT-XMCO : Corrections de multiples vulnérabilités au sein du navigateur Internet Explorer (MS10-071)
octobre 2010 par CERT-XMCO
- Date : 13 Octobre 2010
- Plateforme : Windows
- Programme : Internet Explorer
- Gravité : Elevée
- Exploitation : Avec une page web malicieuse
- Dommage : Accès au système
- Description : Microsoft vient de corriger 10 vulnérabilités présentes dans Internet Explorer, dont 2 considérées comme "critique" par Microsoft (CVE-2010-3326 et CVE-2010-3328).
Les failles de sécurité résultaient principalement de débordements de mémoire lors du traitement de certains objets non ou mal initialisés. En incitant un utilisateur à visiter une page web spécialement conçue, un pirate était en mesure de compromettre un système en exécutant, à l’insu de la victime un code malicieux avec les droits de la victime exécutant Internet Explorer.
La vulnérabilité (CVE-2010-0808), affectant uniquement Internet Explorer 6 et 7 sur Windows XP, est différente des autres. Cette vulnérabilité permet à un site web malicieux de voler le contenu des données préalablement utilisées par la fonction AutoComplete d’Internet Explorer. La fonction AutoComplete est le mécanisme permettant à Internet Explorer de remplir automatiquement des formulaires web avec les données fréquemment demandées (noms, prénoms, email...).
Une autre vulnérabilité (CVE-2010-3330) permet à un JavaScript malicieux de contourner les protections dites de "Cross-Domain" (procédure de sécurité interdisant à une page web d’effectuer des requêtes sur un autre site visité par l’utilisateur) et alors de voler des informations à l’utilisateur, voire de s’introduire dans le réseau interne.
Note : ce bulletin remplace le précédent correctif MS10-053.
- Vulnérable :
* Microsoft Internet Explorer 6
* Microsoft Internet Explorer 7
* Microsoft Internet Explorer 8
- Référence :
[EN] http://www.microsoft.com/technet/security/bulletin/ms10-071.mspx
[FR] http://www.microsoft.com/france/technet/security/bulletin/ms10-071.mspx
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3243
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3324
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3326
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3328
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3329
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3330
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3331
- Correction :
Le CERT-XMCO recommande l’application du correctif MS10-071 (KB2294255) disponible aux adresses suivantes :
Microsoft publie plusieurs versions du correctif en fonction de la version d’Internet Explorer et de la version de Windows :
*Internet Explorer 6
Windows XP Service Pack 3 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=3b029696-cf98-4935-b3d6-846110aaa4bb
* Windows XP Professional SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=d494535a-b68e-4242-af85-5fa62f631ffc
* Windows Server 2003 SP2 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=f64af3cd-591d-4212-94a0-3bc9a4d9782a
* Windows Server 2003 SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=12c3b950-b955-4820-9b4c-5206deb0cd3e
* Windows Server 2003 SP2 (systèmes Itanium) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=97b3f6dc-8df5-4c93-aaee-f191498c7ce4
*Internet Explorer 7
Windows XP Service Pack 3 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=c77ee103-7e97-44b2-bbf3-ee9f0de37fed
* Windows XP Professional SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=ff9c65fe-437c-426d-9096-dd89ff7927fd
* Windows Server 2003 SP2 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=fbcf0e65-c9f4-47f8-b4fc-ae46a66ab339
* Windows Server 2003 SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=59a715a5-10ff-40e6-88e0-096c9b640799
* Windows Server 2003 SP2 (systèmes Itanium) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=ba194be9-24f9-4c62-9aa9-9e98c81ddba1
* Windows Vista SP1 et Windows Vista SP2 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=4f656d16-2a7e-4d18-8a5a-ebf8a1a10e2b
* Windows Vista SP1 et Windows Vista SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=02c6260c-8e21-401a-992d-884c6ff7141d
* Windows Server 2008 et Windows Server 2008 SP2 (32 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=0107dd61-7b3e-4fcf-9743-d9ae594b2278
* Windows Server 2008 et Windows Server 2008 SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=139f3bb2-eefc-4cf4-9c15-de78f5a736c1
* Windows Server 2008 et Windows Server 2008 SP2 (systèmes Itanium) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=1a971fb2-7dc4-43bf-ae25-3a420bb1acf9
*Internet Explorer 8
Windows XP Service Pack 3 :
http://www.microsoft.com/downloads/details.aspx?familyid=93580299-d764-417f-a7fa-ee441fea2bb3
* Windows XP Professional SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=05413f6c-b4be-4892-b4b3-c54dd01fd95d
* Windows Server 2003 SP2 :
http://www.microsoft.com/downloads/details.aspx?familyid=9af37f62-5585-4ff5-9dd3-3fa0b148ae08
* Windows Server 2003 SP2 (64 bits)
http://www.microsoft.com/downloads/details.aspx?familyid=c8052f0c-e62c-46c4-bb59-d515fa388ea8
* Windows Vista SP1 et Windows Vista SP2 :
http://www.microsoft.com/downloads/details.aspx?familyid=191c8388-f1ef-45b6-9f07-d5654a973abe
* Windows Vista SP1 et Windows Vista SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=adeb3036-62fa-4a29-b82f-ff4a50c05996
* Windows Server 2008 et Windows Server 2008 SP2 (32 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=ea5b7c86-3878-43a9-a4bc-12e04bfbd06e
* Windows Server 2008 et Windows Server 2008 SP2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=71ecdb27-46aa-4db1-b86a-3268cda88632
* Windows 7 (32 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=6595770f-e580-4613-a83a-3b8ee4cc30f1
* Windows 7 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=ffe364ee-e2ae-466c-b727-14b1a976a860
* Windows Server 2008 R2 (64 bits) :
http://www.microsoft.com/downloads/details.aspx?familyid=d8b563ce-5db1-4490-8a63-44833d55152b
* Windows Server 2008 R2 (systèmes Itanium) :
http://www.microsoft.com/downloads/details.aspx?familyid=bbaa9f46-8fc7-4c44-b38c-dc3d5210f63d
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1376