S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 9 décembre 2009
N^o CERTA-2009-ALE-020-003

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Vulnérabilité dans Internet Explorer

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-020

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2009-ALE-020-003
Titre	Vulnérabilité dans Internet Explorer
Date de la première version	21 novembre 2009
Date de la dernière version	9 décembre 2009
Source(s)	-
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Internet Explorer 6 ;
Internet Explorer 7.

3 Résumé

Une vulnérabilité dans Internet Explorer versions 6 et 7 permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

4 Description

Une vulnérabilité non corrigée existe dans les versions 6 et 7 d'Internet Explorer et permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Le code permettant l'exploitation de cette vulnérabilité est disponible sur l'internet.

5 Contournement provisoire

Dans l'attente d'un correctif de l'éditeur, le CERTA recommande les mesures suivantes :

utiliser un navigateur alternatif ;
désactiver l'exécution du JavaScript par défaut et ne l'activer qu'au cas par cas sur des sites de confiance ;

Le CERTA rappelle également qu'il est fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits restreints. De plus, l'activation de DEP (Data Execution Prevention) peut empêcher certaines exploitations de la vulnérabilité (cf. bulletin de l'éditeur).

6 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

7 Documentation

Bulletin de sécurité Microsoft #977981 du 23 novembre 2009 :
```
http://www.microsoft.com/technet/security/advisory/977981.mspx
```

Bulletin de sécurité Microsoft MS09-072 du 08 décembre 2009 :

http://www.microsoft.com/france/technet/security/Bulletin/MS09-072.mspx

http://www.microsoft.com/technet/security/Bulletin/MS09-072.mspx

Bulletin de sécurité du CERTA CERTA-2009-AVI-538 du 09 décembre 2009:
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-538
```

Référence CVE CVE-2009-3672 ;

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3672

Gestion détaillée du document

21 novembre 2009: version initiale.
24 novembre 2009: ajout de la référence au bulletin de sécurité de Microsoft et mise à jour du contournement.
27 novembre 2009: ajout de la référence CVE.
9 décembre 2009: ajout de la solution.

CERTA
2012-01-04