CERTA-2004-ALE-013

Vulnerability from certfr_alerte - Published: - Updated:

Une vulnérabilité présente sur le composant ActiveX DHTML Edit permet à un utilisateur mal intentionné d'exécuter un code arbitraire sur le système vulnérable.

Description

Une vulnérabilité présente dans la focntion execScript() du composant ActiveX DHTML Edit permet à un utilisteur mal intentionné, via un site web malicieusement construit, de réaliser l'exécution de code ayant les privilèges de l'utilisateur du navigateur vulnérable.

Contournement provisoire

Désactiver le support des composants ActiveX dans le navigateur si cela n'est pas déjà fait.

Solution

Se référer aux solutions préconisées dans l'avis du CERTA numéro CERTA-2005-AVI-059 :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-059/index.html

Internet Explorer version 6.0 sur Microsoft Windows SP1 et SP2.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eInternet Explorer version 6.0 sur  Microsoft Windows SP1 et SP2.\u003c/p\u003e",
  "closed_at": "2004-12-20",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 pr\u00e9sente dans la focntion execScript() du composant\nActiveX DHTML Edit permet \u00e0 un utilisteur mal intentionn\u00e9, via un site\nweb malicieusement construit, de r\u00e9aliser l\u0027ex\u00e9cution de code ayant les\nprivil\u00e8ges de l\u0027utilisateur du navigateur vuln\u00e9rable.\n\n## Contournement provisoire\n\nD\u00e9sactiver le support des composants ActiveX dans le navigateur si cela\nn\u0027est pas d\u00e9j\u00e0 fait.\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux solutions pr\u00e9conis\u00e9es dans l\u0027avis du CERTA num\u00e9ro\nCERTA-2005-AVI-059 :\n\n    http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-059/index.html\n",
  "cves": [],
  "links": [
    {
      "title": "Comment d\u00e9sactiver les contenus actifs sous Internet    Explorer :",
      "url": "http://support.microsoft.com/default.aspx?scid=kb;en-us;q154036"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Secunia :",
      "url": "http://secunia.com/advisories/13482/"
    }
  ],
  "reference": "CERTA-2004-ALE-013",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-12-20T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente sur le composant ActiveX DHTML Edit permet \u00e0\nun utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter un code arbitraire sur le\nsyst\u00e8me vuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le composant ActiveX DHTML Edit d\u0027Internet Explorer",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Liste de diffusion Bugtraq",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.