Après Firefox, c'est au tour d'IE d'avoir son lot de failles de sécurité
Par Bertrand Arquilliere le mercredi 13 juin 2007, 09:39 - Sécurité des SI - Lien permanent
Hier a été une journée riche en découverte de vulnérabilités (en tout cas d'annonces officielles) pour Internet Explorer.
En effet, ce sont pas moins de 6 vulnérabilités qui ont été annoncées hier dans Internet Explorer, voici un bref descriptif de chacune de ces 6 failles publiques depuis hier :
- Microsoft Internet Explorer CSS Tag Memory Corruption Vulnerability
Vulnérable : IE 6.0
Attaque à distance : Oui
Description : Une exécution de code, dans le contexte de l'utilisateur ayant lancé IE ,est possible, car IE 6.0 ne gère pas correctement certaines données CSS.
Solution : Microsoft a émis le bulletin de sécurité MS07-033 avec les fixes permettant de résoudre ce problème.
- Microsoft Internet Explorer Language Pack Installation Remote Code Execution Vulnerability
Vulnérable : IE 5, IE 6, IE 7
Attaque à distance : Oui
Description : Une exécution de code à distance, dans le contexte de l'utilisateur ayant lancé IE, est possible lié à une faille de type "race condition" dans le kit d'installation du language pack.
Solution : Microsoft a émis le bulletin de sécurité MS07-033 avec les fixes permettant de résoudre ce problème.
- Microsoft Internet Explorer Speech API 4 COM Object Instantiation Buffer Overflow Vulnerabilities
Vulnérable : IE 5, IE 6, IE 7
Attaque à distance : Oui
Description : Une corruption mémoire de la machine cible est possible, lorsque certains objets COM sont instanciés. L'attaque est réalisée en invitant la victime à se rendre sur une page Web spécialement créée.
Solution : Microsoft a émis une alerte avec les fixes permettant de résoudre ce problème. (Rendez-vous sur le site de Microsoft afin d'obtenir les patches)
- Microsoft Internet Explorer URLMON.DLL COM Object Instantiation Remote Code Execution Vulnerability
Vulnérable : IE 5, IE 6
Attaque à distance : Oui
Description : Il n'existe pour le moment pas beaucoup de détails sur cette faille. IE permettrait l'exécution de code à distance dans le contexte de l'utilisateur ayant lancé IE.
Solution : Microsoft a émis le bulletin de sécurité MS07-033 avec les fixes permettant de résoudre ce problème.
- Microsoft Internet Explorer NavCancel.HTM Cross-Site Scripting Vulnerability
Vulnérable : IE 7
Attaque à distance : Oui
Description : Une faille de type cross-site, permet à un utilisateur mal intentionné, de voler sur votre machine des informations sensibles, car IE ne sanitize pas correctement les données soumises par un utilisateur.
Solution : Microsoft a émis une alerte avec les fixes permettant de résoudre ce problème. (Rendez-vous sur le site de Microsoft afin d'obtenir les patches)
- Microsoft Internet Explorer Prototype Variable Uninitialized Memory Corruption Vulnerability
Vulnérable : IE 5, IE 6, IE 7
Attaque à distance : Oui
Description : Une corruption mémoire arrive lorsque l'on accède à certains objets qui ne sont pas correctement instanciés ou qui ont été effacés.L'attaque est réalisée en invitant la victime à se rendre sur une page Web spécialement créée.
Solution : Microsoft a émis une alerte avec les fixes permettant de résoudre ce problème. (Rendez-vous sur le site de Microsoft afin d'obtenir les patches)
Si vous avez besoin de plus d'infos sur les patches a télécharger pour corriger ces failles, n'hésitez pas à me laisser un commentaire.
