CERTA-2001-AVI-055

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités ont été découvertes dans Microsoft Internet Explorer.

La première vulnérabilité concerne la vérification des certificats X.509, la seconde concerne une mauvaise interprétation des URL.

Description

  • Première vulnérabilité :

    Une fonctionnalité d'Internet Explorer permet de vérifier la validité des certificats utilisés notamment pour les sessions HTTPS/SSL (certificats X.509) par le biais de CRL (Gestion de la liste des révocations).

    Une vulnérabilité présente dans cette fonctionnalité permet à un concepteur de site Web mal intentionné de contourner certaines vérifications effectuées au travers des CRL dans le but de tromper les utilisateurs sur l'identité du site.

  • Deuxième vulnérabilité :

    Une vulnérabilité dans l'interprétation par Internet Explorer des URL permet de faire afficher dans la barre de navigation une adresse différente de celle visualisée. Un concepteur de pages Web mal intentionné peut ainsi tromper un utilisateur distant sur l'identité de son site.

Solution

Télécharger le correctif sur le site Microsoft :

http://www.microsoft.com/windows/ie/download/critical/q295106/default
None
Impacted products
Vendor Product Description
Microsoft N/A Microsoft Internet Explorer 5.5.
Microsoft N/A Microsoft Internet Explorer 5.01 ;
References
Bulletin Microsoft MS01-027 None vendor-advisory
Bulletin Microsoft : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Internet Explorer 5.5.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Explorer 5.01 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\n-   Premi\u00e8re vuln\u00e9rabilit\u00e9 :\n\n    Une fonctionnalit\u00e9 d\u0027Internet Explorer permet de v\u00e9rifier la\n    validit\u00e9 des certificats utilis\u00e9s notamment pour les sessions\n    HTTPS/SSL (certificats X.509) par le biais de CRL (Gestion de la\n    liste des r\u00e9vocations).\n\n    Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans cette fonctionnalit\u00e9 permet \u00e0 un\n    concepteur de site Web mal intentionn\u00e9 de contourner certaines\n    v\u00e9rifications effectu\u00e9es au travers des CRL dans le but de tromper\n    les utilisateurs sur l\u0027identit\u00e9 du site.\n\n-   Deuxi\u00e8me vuln\u00e9rabilit\u00e9 :\n\n    Une vuln\u00e9rabilit\u00e9 dans l\u0027interpr\u00e9tation par Internet Explorer des\n    URL permet de faire afficher dans la barre de navigation une adresse\n    diff\u00e9rente de celle visualis\u00e9e. Un concepteur de pages Web mal\n    intentionn\u00e9 peut ainsi tromper un utilisateur distant sur l\u0027identit\u00e9\n    de son site.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n    http://www.microsoft.com/windows/ie/download/critical/q295106/default\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS01-027.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-055",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-05-18T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Usurpation de l\u0027identit\u00e9 d\u0027un serveur web"
    },
    {
      "description": "Contournement des m\u00e9canismes de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Microsoft Internet\nExplorer.\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne la v\u00e9rification des certificats\nX.509, la seconde concerne une mauvaise interpr\u00e9tation des URL.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans Internet Explorer 5.01 et 5.5",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS01-027",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.