 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 21 août
2003
No CERTA-2003-AVI-139 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Internet Explorer
Tableau 1: gestion du document
| Référence |
CERTA-2003-AVI-139 |
| Titre |
Multiples
vulnérabilités dans Internet
Explorer |
| Date de la première
version |
21 août 2003 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité MS03-032 de Microsoft |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Exécution de code arbitraire à distance.
- Microsoft Internet Explorer versions 5.01, 5.5 et 6.0
;
- Microsoft Internet Explorer version 6.0 pour Windows
Server 2003.
Trois vulnérabilités présentes dans
Microsoft Internet Explorer peuvent être
exploitées au moyen d'un site web ou d'un message
électronique au format HTML habilement constitué
et permettre ainsi à un utilisateur mal
intentionné d'exécuter du code arbitraire sur la
plate-forme vulnérable.
- Première vulnérabilité (CVE
CAN-2003-0352) : Internet Explorer ne contrôle pas
correctement le type de données spécifié
dans l'attribut data de la balise object
;
- seconde vulnérabilité (CVE CAN-2003-0351) :
lors de l'accès aux données du cache, il est
possible de contourner le cloisonnement mis en place au moyen
des zones de sécurité au niveau d'Internet
Explorer ;
- troisième vulnérabilité (CVE
CAN-2003-0350) : le contrôle ActiveX BR549.DLL
présente une faille de type débordement de
mémoire. Ce contrôle ActiveX est
désactivé automatiquement lors de l'application
du correctif.
Appliquer le correctif de l'éditeur :
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp
- 21 août 2003
- version initiale.
CERTA
2012-01-04
|
|
)
