Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Internet Explorer 5.01 SP4, 6 SP1 et 7 sur tous les systèmes d'exploitation Microsoft maintenus.
Résumé
Cette mise à jour, qualifiée de critique par Microsoft, corrige quatre vulnérabilités dont trois non publiées. Ces vulnérabilités permettent entre autres d'exécuter du code arbitraire avec les droits de l'utilisateur qui visiterait une page spécifiquement créée.
Description
Les vulnérabilités corrigées sont les suivantes :
- Vulnérabilité de corruption de la mémoire lors du rendu HTML (CVE-2008-0076) ;
- vulnérabilité de corruption de la mémoire liée à l'appel de la méthode Property (CVE-2008-0077) ;
- vulnérabilité de corruption de la mémoire liée au traitement des arguments (CVE-2008-0078) ;
- vulnérabilité de corruption de la mémoire liée à un objet ActiveX (CVE-2007-4790).
Solution
Se référer au bulletin de sécurité Microsoft MS08-010 du 12 février 2008 pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-010 du 12 février 2008 :
http://www.microsoft.com/france/technet/security/Bulletin/MS08-010.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-010.mspx
- Référence CVE CVE-2007-4790 :
https://www.cve.org/CVERecord?id=CVE-2007-4790
- Référence CVE CVE-2008-0076 :
https://www.cve.org/CVERecord?id=CVE-2008-0076
- Référence CVE CVE-2008-0077 :
https://www.cve.org/CVERecord?id=CVE-2008-0077
- Référence CVE CVE-2008-0078 :
https://www.cve.org/CVERecord?id=CVE-2008-0078