Vulnérabilité
dans Internet Explorer (16/12/04)
RESUME
:
Une vulnérabilité a été découverte
dans le navigateur Internet Explorer. Un défaut dans
la fonction execScript() du composant ActiveX DHTML Edit autorise
un individu malveillant à exécuter du code arbitraire
sur l'ordinateur de sa victime, permettant notamment l'affichage
d'une page web piégée dont le contenu ne serait
pas réellement situé à l'adresse indiquée
dans la barre d'adresse, favorisant l'usurpation de site web
et le vol de données sensibles.
LOGICIEL(S)
CONCERNE(S) :
Microsoft Internet Explorer 6.0
(y compris sous Windows XP SP2)
CORRECTIF
:
Le
découvreur de la faille ayant fait le choix de ne pas
coopérer avec l'éditeur dans le but de minimiser
l'impact de sa découverte et de protéger ainsi
les internautes, pour le moment il n'existe pas de correctif
officiel et le risque d'exploitation malveillante est maximal
car l'auteur de la découverte a rendu public le code
permettant d'exploiter cette faille. Outre la vigilance vis-à-vis
des liens et fichiers HTML non sûrs présents
notamment dans les courriels (pour se rendre sur un site sensible
il est préférable de saisir soi-même son
adresse dans son navigateur), les utilisateurs peuvent également
désactiver
l'option "Active scripting" dans la zone "Internet"
d'Internet Explorer.
INFORMATIONS
COMPLEMENTAIRES :
-> FAQ
: comment déterminer le numéro de version de
votre logiciel?
|