Risque

  • Exécution de code arbitraire ;
  • Accès aux données utilisateur ;
  • Contournement des mécanismes de sécurité.

Systèmes affectés

Microsoft Internet Explorer 5.5 et 6.

Résumé

Trois nouvelles vulnérabilités ont été découvertes dans Internet Explorer 5.5 et 6.

Description

  • Première vulnérabilité :

    Une mauvaise gestion des en-têtes des fichiers liés aux pages HTML permet à un utilisateur mal intentionné de mettre en ligne une page HTML comportant un fichier exécutable qui sera automatiquement lancé sans en informer le visiteur du site.

  • Seconde vulnérabilité :

    Cette vulnérabilité permet à un concepteur de site de récupérer des informations sur le poste de l'utilisateur parcourant ce site. (cette vulnérabilité est une variante de celle décrite dans l'avis CERTA-2001-AVI-027).

  • Troisième vulnérablité :

    Une mauvaise interprétation dans l'affichage des types de fichiers à télécharger permet à un concepteur de site de tromper l'utilisateur sur l'extension du fichier. (exemple extension .txt à la place de .exe).

Solution

Télécharger le correctif sur le site Microsoft :

(nota : Ce correctif prévu pour IE 5.5 SP2 et 6 corrige également les vulnérabilités précédemment publiées par Microsoft)

http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp

Documentation

Bulletin Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS01-058.asp