CERTA-2002-AVI-101

Vulnerability from certfr_avis - Published: - Updated:

Plusieurs vulnérabilités ont été mises en évidence dans le logiciel Internet Explorer de Microsoft.

Description

La première vulnérabilité, de type « Cross Site Scripting », permet d'exécuter du code arbitraire avec des droits privilégiés par rapport à la « Zone Internet ».

La seconde vulnérabilité permet à un concepteur de site mal intentionné, par le biais de feuilles de style judicieusement composées, de lire les données locales de la machine parcourant ce site

La troisième vulnérabilité permet, par le biais de scripts contenus dans des « cookies », d'accèder aux informations contenues dans les autres « cookies » de la machine cible.

La quatrième vulnérabilité permet à un concepteur de site d'usurper les catégories de « Zone Internet » afin de diminuer les mécanismes de protection du navigateur.

Les cinquième et sixième vulnérabilités sont des variantes de celles décrites dans l'avis CERTA-2001-AVI-163 et concernent la mauvaise gestion des en-têtes des fichiers liés aux pages HTLM.

Solution

Télécharger le correctif sur le site Microsoft :

http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp
None
Impacted products
Vendor Product Description
Microsoft N/A Microsoft Internet Explorer 5.5 ;
Microsoft N/A Microsoft Internet Explorer 5.01 ;
Microsoft N/A Microsoft Internet Explorer 6.0.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Internet Explorer 5.5 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Explorer 5.01 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Internet Explorer 6.0.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9, de type \u00ab Cross Site Scripting \u00bb, permet\nd\u0027ex\u00e9cuter du code arbitraire avec des droits privil\u00e9gi\u00e9s par rapport \u00e0\nla \u00ab Zone Internet \u00bb.  \n  \n\nLa seconde vuln\u00e9rabilit\u00e9 permet \u00e0 un concepteur de site mal intentionn\u00e9,\npar le biais de feuilles de style judicieusement compos\u00e9es, de lire les\ndonn\u00e9es locales de la machine parcourant ce site  \n  \n\nLa troisi\u00e8me vuln\u00e9rabilit\u00e9 permet, par le biais de scripts contenus dans\ndes \u00ab cookies \u00bb, d\u0027acc\u00e8der aux informations contenues dans les autres \u00ab\ncookies \u00bb de la machine cible.  \n  \n\nLa quatri\u00e8me vuln\u00e9rabilit\u00e9 permet \u00e0 un concepteur de site d\u0027usurper les\ncat\u00e9gories de \u00ab Zone Internet \u00bb afin de diminuer les m\u00e9canismes de\nprotection du navigateur.  \n  \n\nLes cinqui\u00e8me et sixi\u00e8me vuln\u00e9rabilit\u00e9s sont des variantes de celles\nd\u00e9crites dans l\u0027avis CERTA-2001-AVI-163 et concernent la mauvaise\ngestion des en-t\u00eates des fichiers li\u00e9s aux pages HTLM.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft :\n\n    http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp\n",
  "cves": [],
  "links": [
    {
      "title": "Note d\u0027information CERTA-2002-INF-001 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html"
    },
    {
      "title": "Avis CERTA-AVI-2001-163 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-163/index.html"
    },
    {
      "title": "Bulletin Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-023.asp"
    }
  ],
  "reference": "CERTA-2002-AVI-101",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-05-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement des m\u00e9canismes de protection"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "Acc\u00e8s aux donn\u00e9es de l\u0027utilisateur"
    },
    {
      "description": "Vuln\u00e9rabilit\u00e9 de type \"cross site scripting\" (cf. note d\u0027information certa-2002-inf-001)"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 mises en \u00e9vidence dans le logiciel\nInternet Explorer de Microsoft.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Internet Explorer",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin Microsoft MS02-023",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.