Computer Emergency Response Team - Industrie Services et Tertiaire Le CERT dédié à la communauté Industrie, Services et Tertiaire française
Accès membres english version [english version]
ACCUEIL PRESENTATION PUBLICATIONS ADHESION CONTACTS FAQ RECHERCHER
Avis de Sécurité
Avis et Alertes publics
Articles du Cert-IST
Liens utiles
Presse - Evénements
Version imprimante
Accueil | Ressources | Avis et Alertes publics | Avis de sécurité

Vulnérabilités dans Microsoft Internet Explorer (MS09-002)

Référence : CERT-IST/AV-2009.064
Version : 2.1
Date de la version : 20 février 2009

Classification de la vulnérabilité
Risque :
Elevé
Conséquence : Accès au système
Niveau de confiance : Faille officielle
Niveau de connaissance de l'attaquant : Connaisseur
Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)
Plate(s)-forme(s) impactée(s) :
  • Windows XP Service Pack 2 et Windows XP Service Pack 3 (Internet Explorer 7)
  • Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 (Internet Explorer 7)
  • Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 (Internet Explorer 7)
  • Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2 (Internet Explorer 7)
  • Windows Server 2003 avec SP1 pour systèmes Itanium et Windows Server 2003 avec SP2 pour systèmes Itanium (Internet Explorer 7)
  • Windows Vista et Windows Vista Service Pack 1 (Internet Explorer 7)
  • Windows Vista Édition x64 et Windows Vista Édition x64 Service Pack 1 (Internet Explorer 7)
  • Windows Server 2008 pour systèmes 32 bits (Internet Explorer 7)
  • Windows Server 2008 pour systèmes x64 (Internet Explorer 7)
  • Windows Server 2008 pour systèmes Itanium (Internet Explorer 7)
Logiciel(s) impacté(s) :
  • Microsoft Internet Explorer 7
Remarques : Microsoft Internet Explorer 6 et 5.01 ne sont pas affectés.

Description
Contexte de publication :
 [Version 2.0] : Cet avis a été réémis en version 2.0 le 18/02/2009 suite à l'exploitation active de la vulnérabilité CVE-2009-0075. Le risque associé à cet avis est donc passé de Moyen à Elevé. 
Nature du problème :
Deux vulnérabilités ont été découvertes dans le navigateur Microsoft Internet Explorer version 7. Elles permettent à une page web malicieuse d'exécuter des actions nuisibles sur un système vulnérable.

Nota :
  •  Une exploitation active de la vulnérabilité CVE-2009-0075 a été signalée, 
  • un programme d'exploitation a été publié sur Internet pour la vulnérabilité CVE-2009-0075.
Analyse détaillée :
Les vulnérabilités découvertes sont les suivantes :
  •  CVE-2009-0075 : L'accès à un objet supprimé peut permettre l'exécution d'un code arbitraire.
  •  CVE-2009-0076: Une feuille de style CSS (Cascading Style Sheets) malveillante peut permettre l'exécution d'un code arbitraire.

Elles permettent à un attaquant distant, via une page HTML spécifiquement formatée, d'exécuter du code arbitraire sur un système vulnérable, avec les privilèges de l'utilisateur connecté.

Solution

Appliquer les correctifs de Microsoft (KB961260) concernant la vulnérabilité

    Des correctifs sont disponibles pour les différentes plates-formes impactées.

    Se reporter au bulletin de sécurité Microsoft MS09-002 (cité dans la section "Documentation additionnelle") pour obtenir le correctif approprié.

    Les correctifs décrits dans ce bulletin de sécurité annulent et remplacent ceux décrits dans les bulletins MS08-073 et MS08-078

Identifiant(s) du problème

Documentation additionnelle

Historique
Version Commentaire Date
2.1 Publication d'un programme d'exploitation sans élévation du niveau de risque associé 20 février 2009
2.0 Exploitation active de la vulnérabilité CVE-2009-0075 et élévation du niveau de risque 18 février 2009
1.0 Création de l'avis 11 février 2009

Copyright © 1999-2012 Cert-IST | Mentions légales | Plan du site