{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Ces vuln\u00e9rabilit\u00e9s affectent les versions d'Internet Explorer  suivantes :</P>  <UL>    <LI>Internet Explorer 6 Service Pack 1;</LI>    <LI>Internet Explorer 6 Service Pack 1 (64-Bit Edition);</LI>    <LI>Internet Explorer 6 for Windows Server 2003;</LI>    <LI>Internet Explorer 6 for Windows Server 2003 (64-Bit    Edition);</LI>    <LI>Internet Explorer 6;</LI>    <LI>Internet Explorer 5.5 Service Pack 2;</LI>    <LI>Internet Explorer 5.01 Service Pack 2, 3 et 4.</LI>  </UL>  <P>sur les plateformes :</P>  <UL>    <LI>Microsoft Windows NT Workstation 4.0 Service Pack 6a;</LI>    <LI>Microsoft Windows NT Server 4.0, Service Pack 6a;</LI>    <LI>Microsoft Windows NT Server 4.0 Terminal Server Edition et    Service Pack 6;</LI>    <LI>Microsoft Windows 2000 Service Pack 2, 3 et 4;</LI>    <LI>Microsoft Windows XP et Service Pack 1;</LI>    <LI>Microsoft Windows XP 64-Bit Edition et Service Pack 1;</LI>    <LI>Microsoft Windows XP 64-Bit Edition Version 2003;</LI>    <LI>Microsoft Windows Server 2003;</LI>    <LI>Microsoft Windows Server 2003, 64-Bit Edition.</LI>  </UL>  <P>Les applications utilisant le moteur d'Internet Explorer  (Outlook, Outlook Express ,...) de ces versions afin  d'interpr\u00e9ter des documents au format HTML se trouvent \u00e9galement  affect\u00e9es.</P>","content":"## Description\n\n-   Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le mod\u00e8le de s\u00e9curit\u00e9 d'Internet\n    Explorer (cloisonnement inter-domaines), permet \u00e0 un individu mal\n    intentionn\u00e9 d'ex\u00e9cuter du code arbitraire avec les privil\u00e8ges de\n    l'utilisateur connect\u00e9, dans un domaine diff\u00e9rent de celui dans\n    lequel il doit \u00eatre ex\u00e9cut\u00e9 (par exemple `Local Machine Zone`) \u00e0\n    l'aide un m\u00e9l au format HTML ou un site malicieusement constitu\u00e9 ;\n-   une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans l'op\u00e9ration de \"glisser-d\u00e9poser\"\n    d'Internet Explorer permet dans certaines conditions\n    l'enregistrement d'un fichier sur le syst\u00e8me sans aucun\n    avertissement ;\n-   une vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le traitement de certaines\n    adresses r\u00e9ticulaires (URL). Cette faille peut \u00eatre utilis\u00e9e par un\n    individu mal intentionn\u00e9 afin de cr\u00e9er un site malicieux et d'en\n    masquer l'adresse r\u00e9elle par une autre (cf. CERTA-2003-ALE-006).\n\n## Solution\n\nAttention, l'installation du correctif interdit l'emploi de\nl'authentification de type `Basic Authentication` avec Internet Explorer\n(passage de l'identifiant et du mot de passe dans l'URL) pour les\nprotocoles HTTP, HTTP avec SSL (HTTPS).\n\nAppliquer le correctif suivant la plateforme et la version affect\u00e9e :\n\n-   Bulletin de s\u00e9curit\u00e9 MS04-004 de Microsoft :\n\n        http://www.microsoft.com/technet/security/bulletin/MS04-004.asp\n","cves":[],"links":[],"reference":"CERTA-2004-AVI-020","revisions":[{"description":"version initiale.","revision_date":"2004-02-03T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Trois nouvelles vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans certaines\nversions d'Internet Explorer et font l'objet d'un correctif.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Internet Explorer","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 MS04-004 de Microsoft","url":null}]}