CERTA-2002-AVI-187

Vulnerability from certfr_avis - Published: - Updated:

Plusieurs vulnérabilités sont présentes dans le navigateur de Microsoft.

Description

  • Un débordement de mémoire présent dans le contrôle ActiveX Legacy Text Formatting permet à un utilisateur mal intentionné d'obtenir les privilèges de l'administrateur et d'exécuter du code arbitraire à distance ;
  • une vulnérabilité dans la manière dont Internet Explorer gère une directive HTML affichant des données XML permet à un utilisateur mal intentionné d'avoir accès à des documents de type XML sur un système distant ;
  • une vulnérabilité dans la façon dont Internet Explorer représente l'origine d'un fichier dans la boîte de dialogue de téléchargement permet de faire télécharger des fichiers considérés comme provenant d'une source de confiance ;
  • une vulnérabilité de type Cross Domain Verification permet à un utilisateur mal intentionné d'accéder à des données à travers différents domaines.

Solution

Appliquer le correctif disponible sur le site de Microsoft (cf. Documentation).

Ce correctif est cumulatif et inclut les corrections documentées dans les avis CERTA-2002-AVI-128 et CERTA-2002-AVI-101.

Internet Explorer versions 5.01, 5.5 et 6.0.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eInternet Explorer versions 5.01, 5.5 et 6.0.\u003c/P\u003e",
  "content": "## Description\n\n-   Un d\u00e9bordement de m\u00e9moire pr\u00e9sent dans le contr\u00f4le ActiveX\n    `Legacy Text Formatting` permet \u00e0 un utilisateur mal intentionn\u00e9\n    d\u0027obtenir les privil\u00e8ges de l\u0027administrateur et d\u0027ex\u00e9cuter du code\n    arbitraire \u00e0 distance ;  \n-   une vuln\u00e9rabilit\u00e9 dans la mani\u00e8re dont Internet Explorer g\u00e8re une\n    directive HTML affichant des donn\u00e9es XML permet \u00e0 un utilisateur mal\n    intentionn\u00e9 d\u0027avoir acc\u00e8s \u00e0 des documents de type XML sur un syst\u00e8me\n    distant ;  \n-   une vuln\u00e9rabilit\u00e9 dans la fa\u00e7on dont Internet Explorer repr\u00e9sente\n    l\u0027origine d\u0027un fichier dans la bo\u00eete de dialogue de t\u00e9l\u00e9chargement\n    permet de faire t\u00e9l\u00e9charger des fichiers consid\u00e9r\u00e9s comme provenant\n    d\u0027une source de confiance ;  \n-   une vuln\u00e9rabilit\u00e9 de type Cross Domain Verification permet \u00e0 un\n    utilisateur mal intentionn\u00e9 d\u0027acc\u00e9der \u00e0 des donn\u00e9es \u00e0 travers\n    diff\u00e9rents domaines.\n\n## Solution\n\nAppliquer le correctif disponible sur le site de Microsoft (cf.\nDocumentation).  \n\nCe correctif est cumulatif et inclut les corrections document\u00e9es dans\nles avis `CERTA-2002-AVI-128` et `CERTA-2002-AVI-101`.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-187",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-08-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "Acc\u00e8s \u00e0 des donn\u00e9es non sollicit\u00e9"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans le navigateur de Microsoft.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Internet Explorer",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft #MS02-047",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-047.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.