Risque
- Exécution de code arbitraire à distance ;
- exécution de code arbitraire ;
- contournement de la politique de sécurité.
Systèmes affectés
- Microsoft Internet Explorer 5.01 ;
- Microsoft Internet Explorer 6 ;
- Microsoft Internet Explorer 6 Service Pack 1 ;
- Microsoft Internet Explorer 7.
Il s'agit des versions courantes du navigateur fournies par défaut avec le système Windows.
Résumé
Plusieurs vulnérabilités ont été identifiées dans le navigateur Internet Explorer. Certaines d'entre elles peuvent être exploitées par le biais de pages Web spécialement construites, afin d'exécuter du code sur le système de l'utilisateur naviguant sur la page.
Description
Plusieurs vulnérabilités ont été identifiées dans le navigateur Internet Explorer.
- Internet Explorer ne manipulerait pas correctement des objets supprimés ou initialisés de manière incorrecte. Ces vulnérabilités peuvent être exploitées par l'exécution de contrôles ActiveX ou Active Scripting malveillants, au cours de la navigation sur une page Web ou à l'ouverture d'un courriel au format HTML.
- Une autre vulnérabilité concerne certains appels de méthode vers des objets HTML (DHTML). Elle provoquerait alors une corruption de la mémoire, et potentiellement l'exécution de code arbitraire sur le système vulnérable.
Solution
Se référer au bulletin de sécurité MS07-069 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-069 du 11 décembre 2007 :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-069.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-069.mspx
- Référence CVE CVE-2007-3902 :
https://www.cve.org/CVERecord?id=CVE-2007-3902
- Référence CVE CVE-2007-3903 :
https://www.cve.org/CVERecord?id=CVE-2007-3903
- Référence CVE CVE-2007-5344 :
https://www.cve.org/CVERecord?id=CVE-2007-5344
- Référence CVE CVE-2007-5347 :
https://www.cve.org/CVERecord?id=CVE-2007-5347