Le CERT dédié à la communauté Industrie, Services et Tertiaire française

Accès membres [english version]

ACCUEIL PRESENTATION PUBLICATIONS ADHESION CONTACTS FAQ RECHERCHER

Vulnérabilité "0-day" dans Internet Explorer

Avis et Alertes publics Articles du Cert-IST Liens utiles Presse - Evénements Version imprimante		Accueil | Ressources | Avis et Alertes publics | Dangers potentiels Référence : CERT-IST/DG-2008.011 Version : 1.0 Date de la version : 10 Decembre 2008 Classification de la vulnérabilité Risque : Elevé Conséquence : Accès au système Niveau de confiance : Faille officielle Niveau de connaissance de l'attaquant : Connaisseur Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard Information sur le(s) système(s) impacté(s) Plate(s)-forme(s) impactée(s) : Systèmes Microsoft Windows Logiciel(s) impacté(s) : Internet Explorer 7 Remarques : La vulnérabilité a été confirmée pour Internet Explorer 7 sur Windows XP et sur Windows 2003. D'autres versions d'Internet Explorer ou de Windows pourraient être également affectées. Liste des produits impactés Description Contexte de publication : Le Cert-IST émet ce "Danger Potentiel" pour avertir notre communauté que des programmes d'attaque concernant une vulnérabilité jusqu'alors inconnue dans Internet Explorer ont été diffusés sur Internet. Il est très probable que dans les prochains jours des attaques utilisant cette vulnérabilité apparaissent. Nature du problème : Une vulnérabilité a été découverte dans Internet Explorer. Elle permet à une page web malveillante d'exécuter du code arbitraire lorsqu'un internaute visite cette page avec une version vulnérable d'Internet Explorer. Le code est exécuté sur le poste de l'internaute avec les prvilèges de celui-ci.  Un programme d'attaque (exploit) a été diffusé sur Internet pour cette vulnérabilité.  Certaines sources indiquent que des attaques limitées ont déjà été identifiées. Il n'existe pas pour le moment de correctif pour cette vulnérabilité. En particulier, les correctifs diffusés par Microsoft le 9 décembre 2008 (notamment dans le bulletin MS08-073) ne traitent pas ce problème. Analyse détaillée : La vulnérabilité est un débordement mémoire qui se produit dans Internet Explorer lorsque celui-ci traite une page web qui contient des tags XML malformés. Solution Recommandation du Cert-IST dans l'attente d'un correctif Il n'existe actuellement pas de solution pour cette vulnérabilité. Dans l'attente de palliatifs, ou de correctifs, le Cert-IST vous recommande : d'être très prudent lors de la navigation web sur Internet avec Internet Explorer. ou d'utiliser un autre navigateur web Documentation additionnelle Annonce 5458 de l'ISC du SANS du 10 décembre 2008 http://isc.sans.org/diary.html?storyid=5458 Historique Version Commentaire Date 1.0 Création du danger potentiel 10 Decembre 2008

Copyright © 1999-2012 Cert-IST | Mentions légales | Plan du site