S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 12 avril 2006
No CERTA-2006-ALE-002-001 |
Affaire suivie par :
CERTA
BULLETIN D'ALERTE DU CERTA
Objet : Multiples
vulnérabilités dans Microsoft Internet
Explorer
Tableau 1: Gestion du document
| Référence |
CERTA-2006-ALE-002-001 |
| Titre |
Multiples
vulnérabilités dans Microsoft
Internet Explorer |
| Date de la première
version |
23 mars 2006 |
| Date de la dernière
version |
12 avril 2006 |
| Source(s) |
Bulletin de
sécurité Microsoft MS06-013 du 11
avril 2006 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service à distance.
Microsoft Internet Explorer 6.x.
Deux vulnérabilités ont été
découvertes dans Internet Explorer permettant
de provoquer un déni de service et d'exécuter du
code arbitraire à distance.
Deux vulnérabilités non-corrigées sont
présentes dans Internet Explorer :
- la première vulnérabilité est due
à une erreur dans le traitement de certains attributs
de balises html et permet à un utilisateur
distant mal intentionné de provoquer un déni de
service par le biais d'une page web construite de
façon malveillante ;
- La deuxième vulnérabilité est due
à une erreur dans la fonction createTextRange() utilisée dans les
Active Scripts pour Internet Explorer.
Cette vulnérabilité permettrait à un
utilisateur distant de provoquer un déni de service ou
d'exécuter du code arbitraire par le biais d'une page
web dédiée.
Il existe du code malveillant disponible sur l'Internet
exploitant au moins la première
vulnérabilité.
Les deux vulnérabilités concernent des composants
de Internet Explorer. Il donc est nécessaire
d'utiliser un navigateur alternatif comme Firefox ou
Opera.
Cette vulnérabilité est présente dans une
fonction utilisée par les Active Scripts. Il
est donc possible de désactiver la mise en œuvre
des Active Scripts dans Internet Explorer.
Pour cela, dans l'onglet Sécurité des options de
Internet Explorer, cliquer sur le bouton Personnaliser le niveau...; puis dans la
section Script et Active Scripting, cocher Désactiver.
Appliquer le correctif tel qu'indiqué dans le
bulletin de sécurité Microsoft MS06-013 et
détaillé dans l'avis du CERTA CERTA-2006-AVI-150
(cf. section Documentation).
- 23 mars 2006
- version initiale.
- 12 avril 2006
- prise en compte du bulletin de sécurité
Microsoft MS06-013.
CERTA
2012-01-04