Internet Explorer - Mise à jour de la sécurité cumulative (832894) mise à jour de sécurité.
Télécharger maintenant

Internet Explorer - Mise à jour de la sécurité cumulative (832894) Classement & Résumé

Internet Explorer - Mise à jour de la sécurité cumulative (832894) Mots clés

mise à jour de sécurité

Internet Explorer - Mise à jour de la sécurité cumulative (832894) La description

De Microsoft: Qui devrait lire ce document: les clients qui utilisent Microsoft Internet Explorer Impact de la vulnérabilité: exécution du code à distance Note maximale de gravité: critique Recommandation: Les administrateurs de systèmes doivent appliquer immédiatement la mise à jour de la sécurité. Ceci est une mise à jour cumulative qui inclut la fonctionnalité de toutes les mises à jour précédemment publiées pour Internet Explorer 5.01, Internet Explorer 5.5 et Internet Explorer 6.0. De plus, il élimine les trois vulnérabilités nouvellement découvertes suivantes: une vulnérabilité qui implique le modèle de sécurité croisé d'Internet Explorer. Le modèle de sécurité internet de l'Explorer Internet Domain conserve les fenêtres de différents domaines provenant de partager des informations. Cette vulnérabilité pourrait entraîner l'exécution du script dans la zone de la machine locale. Pour exploiter cette vulnérabilité, un attaquant devrait accueillir un site Web malveillant contenant une page Web conçue pour exploiter la vulnérabilité, puis persuader un utilisateur de voir la page Web. L'attaquant pourrait également créer un message électronique HTML conçu pour exploiter la vulnérabilité et persuader l'utilisateur d'afficher le message électronique HTML. Une fois que l'utilisateur a visité le site Web malveillant ou affichait le message de messagerie HTML malveillant, un attaquant qui a exploité cette vulnérabilité pourrait accéder à des informations provenant d'autres sites Web, d'accéder à des fichiers sur un système d'utilisateur et d'exécuter un code arbitraire sur le système d'utilisateur. Ce code fonctionnerait dans le contexte de sécurité de l'utilisateur actuellement connecté. Une vulnérabilité qui consiste à effectuer une opération de glisser-déposer avec des pointeurs de fonction lors d'événements dynamiques HTML (DHTML) dans Internet Explorer. Cette vulnérabilité pourrait permettre d'enregistrer un fichier dans un emplacement cible sur le système de l'utilisateur si l'utilisateur a cliqué sur un lien. Aucune boîte de dialogue ne demanderait que l'utilisateur approuve ce téléchargement. Pour exploiter cette vulnérabilité, un attaquant devrait accueillir un site Web malveillant contenant une page Web contenant une liaison spécialement fabriquée. L'attaquant devra ensuite convaincre un utilisateur de cliquer sur ce lien. L'attaquant pourrait également créer un message électronique HTML qui avait une liaison spécialement conçue, puis persuader l'utilisateur de visualiser le message électronique HTML, puis cliquez sur le lien malveillant. Si l'utilisateur a cliqué sur ce lien, le code du choix de l'attaquant ne serait pas exécuté, mais pourrait être enregistré sur l'ordinateur de l'utilisateur dans un emplacement ciblé. Une vulnérabilité qui implique l'analyse incorrecte des URL contenant des caractères spéciaux. Lorsque combiné avec une mauvaise utilisation de la fonctionnalité d'authentification de base qui a "Nom d'utilisateur: mot de passe @" au début d'une URL, cette vulnérabilité pourrait entraîner une fausse déclaration de l'URL dans la barre d'adresses d'une fenêtre Internet Explorer. Pour exploiter cette vulnérabilité, un attaquant devrait accueillir un site Web malveillant contenant une page Web contenant une liaison spécialement fabriquée. L'attaquant devra ensuite convaincre un utilisateur de cliquer sur ce lien. L'attaquant pourrait également créer un message électronique HTML qui avait une liaison spécialement conçue, puis persuader l'utilisateur de visualiser le message électronique HTML, puis cliquez sur le lien malveillant. Si l'utilisateur a cliqué sur ce lien, une fenêtre Internet Explorer pourrait s'ouvrir avec une URL du choix de l'attaquant dans la barre d'adresse, mais avec du contenu d'un site Web du choix de l'attaquant à l'intérieur de la fenêtre. Par exemple, un attaquant pourrait créer un lien qui a cliqué une fois sur un utilisateur afficherait http://www.tailtoyoys.com dans la barre d'adresse, mais contenait réellement le contenu d'un autre site Web, tel que http: //www.wingtiptoys .com. (Remarque: ces sites Web sont fournis à titre d'exemple uniquement et à la fois redirigation vers http://www.microsoft.com.)

Internet Explorer - Mise à jour de la sécurité cumulative (832894) Logiciels associés