|
|
 |
Accueil | Ressources | Avis et Alertes publics
| Avis de sécurité
Vulnérabilité XML d'Internet Explorer (MS08-078)
| Référence : |
CERT-IST/AV-2008.538 |
| Version : |
3.0 |
| Date de la version : |
18 decembre 2008 |
|
Classification de la vulnérabilité
| Risque : |
 |
Elevé |
|
| Conséquence : |
Accès au système |
| Niveau de confiance : |
Faille officielle |
| Niveau de connaissance de l'attaquant : |
Connaisseur |
| Moyen nécessaire à l'attaquant : |
Accès distant (sans compte) sur un service standard |
|
Information sur le(s) système(s) impacté(s)
| Plate(s)-forme(s) impactée(s) : |
- Windows XP Service Pack 2
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 1
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP1 for Itanium-based Systems
- Windows Server 2003 with SP2 for Itanium-based Systems
- Windows Vista
- Windows Vista Service Pack 1
- Windows Vista x64 Edition
- Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
|
| Logiciel(s) impacté(s) : |
- Microsoft Internet Explorer 5.01 Service Pack 4
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 6 SP1
- Windows Internet Explorer 7
- Windows Internet Explorer 8 Beta 2
|
Description
| Contexte de publication : |
|
[Version 3.0] : Cet avis a été réémis en version 3.0 le 18/12/2008 car Microsoft vient de publier un correctif hors cycle pour la vulnérabilité d'Internet Explorer. Les sections "Logiciel(s) impacté(s)" et "Analyse détaillée" du présent avis ont par ailleurs été mises à jour.
[Version 2.0] : Cet avis a été réémis en version 2.0 le 12/12/2008 car Microsoft signale qu'Internet Explorer 5.01, 6 et 8 Beta 2 sont également potentiellement impactés.
La vulnérabilité décrite dans cet avis a fait l'objet du danger potentiel CERT-IST/DG-2008.011. La menace liée à son exploitation est suivie dans le hub de gestion de crise du Cert-IST intitulé "IE XML 0day". |
|
| Nature du problème : |
|
Une vulnérabilité a été découverte dans Internet Explorer. Elle permet à une page web malveillante d'exécuter des actions nuisibles sur un système vulnérable avec les privilèges de l'utilisateur connecté.
Nota : - Un programme d'exploitation pour cette vulnérabilité a été publié sur Internet. Il permet de lancer une commande arbitraire sur le poste de l'internaute.
- De plus une exploitation active de cette vulnérabilité est signalée sur plusieurs sites web.
|
|
| Analyse détaillée : |
|
| Cette vulnérabilité est due à une erreur de gestion mémoire dans la fonctionnalité "Data Binding" d'Internet Explorer lors du traitement de certaines données XML. Elle permet à un attaquant distant, via une page HTML spécifiquement formatée, d'exécuter du code arbitraire sur un système vulnérable, avec les privilèges de l'utilisateur connecté. |
|
Solution
01 - Solutions palliatives à la vulnérabilité d'Internet Explorer
En attendant la publication de correctifs, Microsoft recommande :
- D'activer le mécanisme de protection de la mémoire (DEP) pour Internet Explorer 7.
Les administrateurs locaux peuvent autoriser DEP en utilisant Internet Explorer comme administrateur et en suivant les étapes suivantes :
- Menu "Tools/Options",
- Onglet "Advanced",
- Cocher "Enable memory protection to help mitigate online attacks".
Impact de ce contournement : Certaines extensions du navigateur peuvent ne pas être compatibles avec DEP.
Nota : DEP (Data Execution Prevention) permet de déjouer les attaques en empêchant l'exécution de code depuis des zones mémoire marquées "non-executable". Cette fonction n'est pas active par défaut dans Internet Explorer 7.
- De désactiver ou de désinstaller OLEDB32.DLL.
Se reporter aux réfé!ences Microsoft (citées dans la rubrique "Documentation additionnelle") pour connaître la méthode à utiliser en fonction de la plate-forme considérée.
- De désactiver la fonctionnalité "XML Island".
Se reporter aux références Microsoft (citées dans la rubrique "Documentation additionnelle") pour connaître la méthode à utiliser en fonction de la plate-forme considérée.
02 - Appliquer les correctifs de Microsoft (KB960714) concernant la vulnérabilité d'Internet Explorer
Des correctifs sont disponibles pour les différentes plates-formes impactées.
Se reporter au bulletin de sécurité Microsoft MS08-078 (cité dans la section "Documentation additionnelle") pour obtenir le correctif approprié.
Nota : Contrairement aux mises à jour d'Internet Explorer habituellement fournies par Microsoft, celle décrite dans le bulletin de sécurité MS08-078 n'est pas cumulative. - Bulletin de sécurité de Microsoft MS08-078 du 17 décembre 2008
|
|
Identifiant(s) du problème
Documentation additionnelle
- Avis de sécurité de Microsoft 961051 du 10 décembre 2008
- Bulletin de sécurité de Microsoft MS08-078 du 17 décembre 2008
- Avis de sécurité de l'US-CERT TA08-352A du 17 décembre 2008
- Réponse de Nortel au bulletin de sécurité de Microsoft MS08-078
|
|
Historique
|
|
|
|
|
|
|
|
|
|
Version |
|
|
|
Commentaire |
|
|
|
Date |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.0 |
|
|
|
Correctifs de Microsoft (bulletin de sécurité MS08-078) |
|
|
|
18 decembre 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.1 |
|
|
|
Mise à jour des solutions temporaires |
|
|
|
15 decembre 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.0 |
|
|
|
Mise à jour des produits impactés et de la solution temporaire |
|
|
|
12 decembre 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.0 |
|
|
|
Création de l'avis |
|
|
|
11 decembre 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
