 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 14 décembre
2005
No CERTA-2005-AVI-489-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Internet Explorer
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-489-001 |
| Titre |
Multiples
vulnérabilités dans Internet
Explorer |
| Date de la première
version |
14 décembre 2005 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Microsoft MS05-054 du 13
décembre 2005 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- atteinte à la confidentialité des
données.
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows XP Service Pack 1 & 2 ;
- Microsoft Windows XP Professional x64 Edition ;
- Microsoft Windows Server 2003 (incluant les
systèmes Itanium) ;
- Microsoft Windows Server 2003 Service Pack 1 (incluant
les systèmes Itanium) ;
- Microsoft Windows Server 2003 x64 Edition Family ;
- Microsoft Windows 98, Microsoft Windows 98 Second Edition
et Microsoft Windows Millennium Edition.
De nombreuses vulnérabilités
découvertes dans Internet Explorer permettent à
un utilisateur mal intentionné de porter atteinte
à la confidentialité des données ou
d'exécuter du code arbitraire à distance.
-
Une vulnérabilité dans la gestion des
boîtes de dialogue de téléchargement de
fichier peut être exploitée afin
d'exécuter du code arbitraire à distance.
Cette vulnérabilité est due à une
erreur dans le traitement des informations qui sont
transmises entre les pages web et/ou une boîte de
dialogue vers une boîte de dialogue pour
télécharger un fichier (CAN-2005-2829) ;
-
une vulnérabilité est présente dans
Internet Explorer lors d'une connexion HTTPS vers un
serveur mandataire (proxy) nécessitant une
authentification basic.
Cette vulnérabilité permet à un
utilisateur distant d'avoir connaissance des adresses
réticulaires (URL) en clair malgré la
connexion HTTPS (CAN-2005-2830) ;
-
une vulnérabilité dans la manière dont
Internet Explorer exécute des objets COM
(Component Object Model) qui ne sont pas initialement
destinés à être exécutés
par Internet Explorer, permet à un utilisateur mal
intentionné d'exécuter du code arbitraire
à distance au moyen d'un objet COM
malicieusement construit (CAN-2005-2831) ;
-
une vulnérabilité dans le traitement des
objets DOM (Document Object Model) permet à
un utilisateur mal intentionné d'exécuter du
code arbitraire à distance au moyen d'un site web
malicieusement constitué (CAN-2005-1790).
Cette vulnérabilité
fait l'objet d'un bulletin d'alerte du CERTA mis à
jour le 14 décembre 2005 (cf.
CERTA-2005-ALE-017).
Se reférer au bulletin de sécurité de
l'éditeur pour prendre connaissance des contournements
provisoires (cf. section Documentation).
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 14 décembre 2005
- version initiale.
- 14 décembre 2005
- ajout de la référence au bulletin d'alerte
CERTA-2005-ALE-017 mis à jour le 14 décembre
2005.
CERTA
2010-01-20
|
|
