CERTA-2005-AVI-218

Vulnerability from certfr_avis - Published: 2005-06-15 - Updated: 2005-06-15

Deux vulnérabilités découvertes dans le navigateur Internet Explorer permettent l'exécution de code arbitraire à distance.

Description

  • Une vulnérabilité a été découverte dans le traitement des images au format PNG (Portable Network Graphics) par Internet Explorer. En incitant un internaute à visiter un site web ou à visualiser un mèl contenant une image au format PNG malicieusement constituée, un utilisateur mal intentionné peut exécuter du code arbitraire à distance (référence CVE CAN-2005-1211) ;
  • une vulnérabilité a été découverte dans le traitement des fichiers XML (eXtensible Markup Language). En incitant un internaute à visiter un site web ou à visualiser un mèl malicieusement constitués, un utilisateur mal intentionné peut lire des données XML d'un autre domaine Internet Explorer (référence CVE CAN-2002-0648).

Solution

Appliquer le correctif de Microsoft (voir section Documentation).

Les systèmes d'exploitation suivants sont affectés :

  • Microsoft Windows 2000 Service Pack 3 et 4 ;
  • Microsoft Windows XP Service Pack 1 et 2 ;
  • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) ;
  • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) ;
  • Microsoft Windows XP Professional x64 Edition ;
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows Server 2003 Service Pack 1 ;
  • Microsoft Windows Server 2003 pour systèmes Itanium ;
  • Microsoft Windows Server 2003 Service Pack 1 pour systèmes Itanium ;
  • Microsoft Windows Server 2003 x64 Edition ;
  • Microsoft Windows 98, Microsoft Windows 98 Seconde Edition et Microsoft Windows Millenium Edition.

Les logiciels suivants sont vulnérables :

  • Internet Explorer 5.01 Service Pack 3 sur Microsoft Windows 2000 Service Pack 3 ;
  • Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 Service Pack 4 ;
  • Internet Explorer 6 Service Pack 1 sur Microsoft Windows 2000 Service Pack 3 et 4 ou sur Microsoft Windows XP Service Pack 1 ;
  • Internet Explorer 6 sur Microsoft Windows XP Service Pack 2 ;
  • Internet Explorer 6 Service Pack 1 sur Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) ;
  • Internet Explorer 6 sur Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 ;
  • Internet Explorer 6 sur Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium), sur Microsoft Windows 2003 Server pour systèmes Itanium et sur Microsoft Windows 2003 Server Service Pack 1 pour systèmes Itanium ;
  • Internet Explorer 6 sur Microsoft Windows 2003 Server x64 Edition et sur Microsoft Windows XP Professional x64 Edition ;
  • Internet Explorer 5.5 Service Pack 2 sur Microsoft Windows Millenium Edition ;
  • Internet Explorer 6 Service Pack 1 sur Microsoft Windows 98, Microsoft Windows 98 Seconde Edition, et sur Microsoft Windows Millenium Edition.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLes syst\u00e8mes d\u0027exploitation suivants sont affect\u00e9s :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eMicrosoft Windows 2000 Service Pack 3 et 4 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Service Pack 1 et 2 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP 64-Bit Edition Service Pack 1    (Itanium) ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP 64-Bit Edition Version 2003 (Itanium)    ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows XP Professional x64 Edition ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 Service Pack 1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 pour syst\u00e8mes Itanium ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 Service Pack 1 pour syst\u00e8mes    Itanium ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows Server 2003 x64 Edition ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Windows 98, Microsoft Windows 98 Seconde Edition    et Microsoft Windows Millenium Edition.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eLes logiciels suivants sont vuln\u00e9rables :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eInternet Explorer 5.01 Service Pack 3 sur Microsoft Windows    2000 Service Pack 3 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 5.01 Service Pack 4 sur Microsoft Windows    2000 Service Pack 4 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 Service Pack 1 sur Microsoft Windows    2000 Service Pack 3 et 4 ou sur Microsoft Windows XP Service    Pack 1 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 sur Microsoft Windows XP Service Pack 2    ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 Service Pack 1 sur Microsoft Windows XP    64-Bit Edition Service Pack 1 (Itanium) ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 sur Microsoft Windows Server 2003 et    Microsoft Windows Server 2003 Service Pack 1 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 sur Microsoft Windows XP 64-Bit Edition    Version 2003 (Itanium), sur Microsoft Windows 2003 Server pour    syst\u00e8mes Itanium et sur Microsoft Windows 2003 Server Service    Pack 1 pour syst\u00e8mes Itanium ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 sur Microsoft Windows 2003 Server x64    Edition et sur Microsoft Windows XP Professional x64 Edition    ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 5.5 Service Pack 2 sur Microsoft Windows    Millenium Edition ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6 Service Pack 1 sur Microsoft Windows    98, Microsoft Windows 98 Seconde Edition, et sur Microsoft    Windows Millenium Edition.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\n-   Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans le traitement des images au\n    format PNG (Portable Network Graphics) par Internet Explorer. En\n    incitant un internaute \u00e0 visiter un site web ou \u00e0 visualiser un m\u00e8l\n    contenant une image au format PNG malicieusement constitu\u00e9e, un\n    utilisateur mal intentionn\u00e9 peut ex\u00e9cuter du code arbitraire \u00e0\n    distance (r\u00e9f\u00e9rence CVE CAN-2005-1211) ;\n-   une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans le traitement des fichiers\n    XML (eXtensible Markup Language). En incitant un internaute \u00e0\n    visiter un site web ou \u00e0 visualiser un m\u00e8l malicieusement\n    constitu\u00e9s, un utilisateur mal intentionn\u00e9 peut lire des donn\u00e9es XML\n    d\u0027un autre domaine Internet Explorer (r\u00e9f\u00e9rence CVE CAN-2002-0648).\n\n## Solution\n\nAppliquer le correctif de Microsoft (voir section Documentation).\n",
  "cves": [],
  "initial_release_date": "2005-06-15T00:00:00",
  "last_revision_date": "2005-06-15T00:00:00",
  "links": [],
  "reference": "CERTA-2005-AVI-218",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-06-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s d\u00e9couvertes dans le navigateur Internet Explorer\npermettent l\u0027ex\u00e9cution de code arbitraire \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans Internet Explorer",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS05-025 du 14 juin 2005",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS05-025.mspx"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.