Microsoft Internet Explorer 5.5 SP2 Patch cumulatif mise à jour de sécurité.
Télécharger maintenant

Microsoft Internet Explorer 5.5 SP2 Patch cumulatif Classement & Résumé

Microsoft Internet Explorer 5.5 SP2 Patch cumulatif Mots clés

mise à jour de sécurité Mise à jour des essentiels de sécurité Mettre à jour la sécurité essentielle

Microsoft Internet Explorer 5.5 SP2 Patch cumulatif La description

De Microsoft: Il s'agit d'un correctif cumulatif qui inclut la fonctionnalité de toutes les correctifs précédemment libérés pour IE 5,01, 5.5 et 6.0. En outre, il élimine les six vulnérabilités nouvellement découvertes suivantes: une vulnérabilité de script de site internet dans une ressource HTML locale. C'est-à-dire des navires avec plusieurs fichiers contenant HTML sur le système de fichiers local pour fournir des fonctionnalités. L'un de ces fichiers contient une vulnérabilité de script de sites croisés pouvant permettre à un script d'exécuter comme s'il était exécuté par l'utilisateur elle-même, ce qui lui faisait fonctionner dans la zone d'ordinateur locale. Un attaquant pourrait créer une page Web avec une URL qui exploite cette vulnérabilité, puis hébergez cette page sur un serveur Web ou l'envoyer en tant que courrier électronique HTML. Lorsque la page Web a été visualisée et que l'utilisateur a cliqué sur le lien URL, le script de l'attaquant est injecté dans la ressource locale, le script d'attaquant exécuterait dans la zone informatique locale, ce qui lui permettrait de fonctionner avec moins de restrictions que ce serait autrement. Une vulnérabilité de divulgation d'informations liée à l'utilisation de l'objet HTML AM prévoit que la prise en charge des feuilles de style en cascade pouvant permettre à un attaquant de lire, mais pas d'ajouter, de supprimer ou de modifier, des données sur le système local. Un attaquant pourrait fabriquer une page Web qui exploite cette vulnérabilité, puis hébergez cette page sur un serveur Web ou l'envoyer en tant que courrier électronique HTML. Lorsque la page a été visualisée, l'élément serait invoqué. Exploitant avec succès cette vulnérabilité, cependant, nécessite une connaissance exacte de l'emplacement du fichier prévu à lire sur le système de l'utilisateur. En outre, il faut que le fichier prévu contienne un caractère unique, Parciculaire ASCII. Une vulnérabilité de divulgation d'informations relative à la gestion du script dans les cookies pouvant permettre à un site de lire les cookies d'un autre. Un attaquant pourrait construire un cookie spécial contenant un script, puis construire une page Web avec un lien hypertexte qui transmettrait ce cookie au système de l'utilisateur et l'invoquerait. Il pourrait ensuite envoyer cette page Web comme courrier ou poster sur un serveur. Lorsque l'utilisateur a cliqué sur le lien hypertexte et que la page a invoqué le script dans le cookie, cela pourrait potentiellement lire ou modifier les cookies d'un autre site. L'exploitation réussie, cependant, exigerait que l'attaquant connaisse le nom exact du cookie tel que stocké sur le système de fichiers à lire avec succès. Une vulnérabilité d'usurpation d'une zone qui pourrait permettre une page Web de manière incorrecte d'être dans la zone intranet ou, dans certains cas très rares, dans la zone Sites de confiance. Un attaquant pourrait construire une page Web qui exploite cette vulnérabilité et tente d'attirer l'utilisateur de visiter la page Web. Si l'attaque a réussi, la page serait exécutée avec moins de restrictions de sécurité qu'elles conviennent. Deux variantes de la vulnérabilité de "disposition de contenu" discutée dans Microsoft Security Bulletin MS01-058 affectant la manière dont IE gère les téléchargements lorsqu'un dossier de contenu et des en-têtes de type de contenu de fichier téléchargeable sont intentionnellement mal formés. Dans un tel cas, il est possible que c'est-à-dire que c'est de croire qu'un fichier est un type sûr pour la manipulation automatique, lorsqu'il est en fait un contenu exécutable. Un attaquant pourrait chercher à exploiter cette vulnérabilité en construisant une page Web spécialement mal formée et en affectant un fichier exécutable mal formé. Il pourrait ensuite poster la page Web ou l'envoyer à la cible prévue. Ces deux nouvelles variantes diffèrent de la vulnérabilité initiale en ce sens qu'elles pourraient être vulnérables, elles doivent présenter une application présentée que, lorsqu'il est passé à tort, le contenu mal formé, choisit de la remettre au système d'exploitation plutôt que de relever immédiatement une erreur. Une attaque réussie nécessiterait donc que l'attaquant sache que la victime envisagée a une de ces applications présentes sur leur système. Enfin, il introduit un changement de comportement à la zone de sites restreinte. Plus précisément, il désactive les cadres dans la zone de sites restreinte. Depuis l'Outlook Express 6.0, Outlook 98 et Outlook 2000 avec la mise à jour Outlook Email Security et Outlook 2002 Tous ont lu Email dans la zone Sites restreinte par défaut, cette amélioration signifie que ces produits désactivent efficacement les cadres dans le courrier électronique HTML par défaut. Ce nouveau comportement empêche un courrier électronique HTML d'ouvrir automatiquement une nouvelle fenêtre ou de lancer le téléchargement d'un exécutable.

Microsoft Internet Explorer 5.5 SP2 Patch cumulatif Logiciels associés