Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Avis de sécurité

Multiples vulnérabilités dans Microsoft Internet Explorer (MS09-072)

Référence :	CERT-IST/AV-2009.554
Version :	1.1
Date de la version :	15 decembre 2009

Classification de la vulnérabilité

Risque :

Elevé

Conséquence :

Accès au système

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Connaisseur

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Systèmes Microsoft Windows

Logiciel(s) impacté(s) :

Microsoft Internet Explorer 5.01 Service Pack 4
Microsoft Internet Explorer 6 Service Pack 1
Microsoft Internet Explorer 6
Microsoft Internet Explorer 7
Microsoft Internet Explorer 8

Description

Contexte de publication :

Microsoft a publié un nouveau "Patch Cumulatif" pour son navigateur Internet Explorer (bulletin Microsoft MS09-072). Ce "Patch Cumulatif" contient les correctifs pour les cinq vulnérabilités décrites dans le présent avis ainsi que les correctifs du bulletin Microsoft MS09-054.

La vulnérabilité CVE-2009-2493 est la vulnérabilité ATL de certains contrôles ActiveX étaient déjà décrite dans les avis CERT-IST/AV-2009.327 et CERT-IST/AV-2009.354.

La vulnérabilité CVE-2009-3672 était décrite sous la référence FA-2009.0227 dans la liste des "Failles en cours d'investigation" du Cert-IST.

Nature du problème :

Cinq vulnérabilités ont été corrigées dans le navigateur Microsoft Internet Explorer. Elles permettent à une page web malicieuse d'exécuter des actions nuisibles sur un système vulnérable.

Nota : Un programme d'exploitation de la vulnérabilité CVE-2009-3672 a été publié sur Internet.

Analyse détaillée :

Les vulnérabilités découvertes sont les suivantes :

CVE-2009-2493 : Un ActiveX utilise une version de Microsoft ATL (Active Template Library) impactée par cette vulnérabilité déjà décrite dans les avis CERT-IST/AV-2009.354 et CERT-IST/AV-2009.327 .
CVE-2009-3671, CVE-2009-3672, CVE-2009-3673, CVE-2009-3674 : Vulnérabilité dues à des accès à des objets incorrectement initialisés ou supprimés.

Elles permettent à un attaquant distant, via une page HTML spécifiquement formatée, d'exécuter du code arbitraire sur un système vulnérable, avec les privilèges de l'utilisateur connecté.

Solution

Appliquer les correctifs de Microsoft (KB976325) concernant les vulnérabilités d'Internet Explorer

Bulletin de sécurité de Microsoft MS09-072 du 8 décembre 2009
- http://www.microsoft.com/france/technet/security/bulletin/MS09-072.mspx

Identifiant(s) du problème

Documentation additionnelle

Bulletin de sécurité de Microsoft MS09-072 du 8 décembre 2009
- http://www.microsoft.com/france/technet/security/bulletin/MS09-072.mspx
Avis de sécurité de US-CERT TA09-342A du 8 décembre 2009
- http://www.us-cert.gov/cas/techalerts/TA09-342A.html
Avis de sécurité de Nortel 2009009911 du 11 décembre 2009
- http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=984218
Avis de sécurité de "Zero Day Initiative" ZDI-09-086 du 8 décembre 2009
- http://www.zerodayinitiative.com/advisories/ZDI-09-086/
Avis de sécurité de "Zero Day Initiative" ZDI-09-087 du 8 décembre 2009
- http://www.zerodayinitiative.com/advisories/ZDI-09-087
Avis de sécurité de "Zero Day Initiative" ZDI-09-088 du 8 décembre 2009
- http://www.zerodayinitiative.com/advisories/ZDI-09-088
Avis de sécurité de iDEFENSE 833 du 9 décembre 2009
- http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=833

Historique

Version

Commentaire

Date

1.1

Correction des références des bulletins MS dans le contexte de publication

15 decembre 2009

1.0

Création de l'avis

09 decembre 2009



Copyright © 1999-2012 Cert-IST \| Mentions légales \| Plan du site