CERTA-2002-AVI-042

Vulnerability from certfr_avis - Published: - Updated:

Un administrateur de site web mal intentionné peut accéder à des données présentes sur le système de ses victimes au moyen d'un script Visual Basic.

Description

Normalement lors d'une navigation avec Internet Explorer, un script présent dans une page web ne peut pas ouvrir de frame dont la source provient d'un autre site web.

Une vulnérabilité de la gestion des VBScripts (Scripts en Visual Basic) permet à un administrateur de site web mal intentionné d'ouvrir une frame contenant des pages situées dans un autre site web par le biais d'une page web habilement construite à partir de scripts Visual Basic.

L'exploitation de cette vulnérabilité permet à cet administrateur d'obtenir des informations personnelles sur ses victimes et d'accéder à des fichiers présents sur les machines victimes contenant des données personnelles.

Contournement provisoire

Désactiver les VBScripts en désactivant Active Scripting dans les paramètres de sécurité de Internet Explorer.

Solution

  • Se référer au site web de Microsoft pour connaitre la disponibilité des correctifs :

    http://www.microsoft.com/windowsupdate

  • Installer le supplément sécurité de Microsoft pour Outlook 98 et 2000 :

    http://office.microsoft.com/Download/2000/Out2ksec.aspx
None
Impacted products
Vendor Product Description
N/A N/A Versions Outlook ou Outlook Express antérieures aux versions Outlook 2002 ou Outlook Express 6.
Microsoft Windows Tous les systèmes Microsoft Windows possédant une version quelconque d'Internet Explorer.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Versions Outlook ou Outlook Express ant\u00e9rieures aux versions Outlook 2002 ou Outlook Express 6.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Tous les syst\u00e8mes Microsoft Windows poss\u00e9dant une version quelconque d\u0027Internet Explorer.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nNormalement lors d\u0027une navigation avec Internet Explorer, un script\npr\u00e9sent dans une page web ne peut pas ouvrir de frame dont la source\nprovient d\u0027un autre site web.\n\nUne vuln\u00e9rabilit\u00e9 de la gestion des VBScripts (Scripts en Visual Basic)\npermet \u00e0 un administrateur de site web mal intentionn\u00e9 d\u0027ouvrir une\nframe contenant des pages situ\u00e9es dans un autre site web par le biais\nd\u0027une page web habilement construite \u00e0 partir de scripts Visual Basic.\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 permet \u00e0 cet administrateur\nd\u0027obtenir des informations personnelles sur ses victimes et d\u0027acc\u00e9der \u00e0\ndes fichiers pr\u00e9sents sur les machines victimes contenant des donn\u00e9es\npersonnelles.\n\n## Contournement provisoire\n\nD\u00e9sactiver les VBScripts en d\u00e9sactivant Active Scripting dans les\nparam\u00e8tres de s\u00e9curit\u00e9 de Internet Explorer.\n\n## Solution\n\n-   Se r\u00e9f\u00e9rer au site web de Microsoft pour connaitre la disponibilit\u00e9\n    des correctifs :\n\n        http://www.microsoft.com/windowsupdate\n\n-   Installer le suppl\u00e9ment s\u00e9curit\u00e9 de Microsoft pour Outlook 98 et\n    2000 :\n\n        http://office.microsoft.com/Download/2000/Out2ksec.aspx\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-042",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-02-22T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Divulgation de donn\u00e9es pr\u00e9sentes sur le syst\u00e8me"
    }
  ],
  "summary": "Un administrateur de site web mal intentionn\u00e9 peut acc\u00e9der \u00e0 des donn\u00e9es\npr\u00e9sentes sur le syst\u00e8me de ses victimes au moyen d\u0027un script Visual\nBasic.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Internet Explorer li\u00e9e aux VBScripts",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS02-009",
      "url": "http://www.microsoft.com/technet/seecurity/bulletin/MS02-009.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.