CERTA : Multiples vulnérabilités dans Internet Explorer
février 2008 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
Internet Explorer 5.01 SP4, 6 SP1 et 7 sur tous les systèmes d’exploitation
Microsoft maintenus.
3 Résumé
Cette mise à jour, qualifiée de critique par Microsoft, corrige quatre
vulnérabilités dont trois non publiées. Ces vulnérabilités permettent entre
autres d’exécuter du code arbitraire avec les droits de l’utilisateur qui
visiterait une page spécifiquement créée.
4 Description
Les vulnérabilités corrigées sont les suivantes :
* Vulnérabilité de corruption de la mémoire lors du rendu HTML
(CVE-2008-0076) ;
* vulnérabilité de corruption de la mémoire liée à l’appel de la méthode
Property (CVE-2008-0077) ;
* vulnérabilité de corruption de la mémoire liée au traitement des arguments
(CVE-2008-0078) ;
* vulnérabilité de corruption de la mémoire liée à un objet ActiveX
(CVE-2007-4790).
5 Solution
Se référer au bulletin de sécurité Microsoft MS08-010 du 12 février 2008 pour
l’obtention des correctifs (cf. section Documentation).
6 Documentation
* Bulletin de sécurité Microsoft MS08-010 du 12 février 2008 :
http://www.microsoft.com/france/technet/security/Bulletin/MS08-010.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-010.mspx
* Référence CVE CVE-2007-4790 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4790
* Référence CVE CVE-2008-0076 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0076
* Référence CVE CVE-2008-0077 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0077
* Référence CVE CVE-2008-0078 :