Bulletin de sécurité Microsoft MS02-068 patch cumulatif pour Internet Explorer.
Télécharger maintenant

Bulletin de sécurité Microsoft MS02-068 Classement & Résumé

Bulletin de sécurité Microsoft MS02-068 Mots clés

Mise à jour cumulative GPA cumulée Cumulatif Somme cumulative Traumatisme cumulatif

Bulletin de sécurité Microsoft MS02-068 La description

De Microsoft: Ceci est un bulletin mis à jour décrivant un patch cumulatif pour Internet Explorer 5.5 et 6.0. Le patch d'origine est inchangé et, en plus de la fonctionnalité de toutes les corrections publiées précédemment pour Internet Explorer 5.5 et 6.0, élimine une faille supplémentaire dans le modèle de sécurité croisé de l'Internet Explorer. Cette faille survient car les vérifications de sécurité que Internet Explorer effectue des techniques de mise en cache d'objet particulières dans les pages Web sont incomplètes. Cela pourrait avoir pour effet de permettre à un attaquant d'exécuter des commandes sur le système d'un utilisateur. L'exploitation de la vulnérabilité pourrait permettre à un attaquant d'invoquer un exécutable déjà présent sur le système local. Il pourrait également permettre à un attaquant de charger un exécutable malveillant sur le système d'un utilisateur ou de passer des paramètres à un exécutable. Cependant, un paramètre de clé de registre discuté dans la base de connaissances Microsoft Article 810687 désactive les raccourcis de l'aide HTML, ce qui réduit considérablement la portée de cette vulnérabilité, car elle supprime la capacité de charger un exécutable malveillant sur un système d'utilisateur ou de passer des paramètres à un exécutable. Un attaquant pourrait exploiter la vulnérabilité en construisant une page Web utilisant une technique de programmation mise en cache et pourrait alors l'héberger sur un site Web ou l'envoyer à un utilisateur par courrier électronique. Dans le cas du vecteur d'attaque basé sur le Web, la page pourrait être automatiquement ouverte lorsqu'un utilisateur a visité le site. Dans le cas du vecteur d'attaque basé sur le courrier HTML, la page pourrait être ouverte lorsque le destinataire a ouvert le courrier ou le visualisé à l'aide du volet Aperçu. Le 4 décembre 2002, Microsoft a publié la version originale de ce bulletin. Suite à cette époque, Microsoft a reçu un rapport suggérant que la vulnérabilité adressée par ce bulletin pourrait être exploitée pour exécuter un code arbitraire sur la machine d'un utilisateur. Microsoft a enquêté sur ce rapport et a été en mesure de développer une démonstration qui exploite la vulnérabilité nécessaire au code arbitraire. Nous avons publié ce bulletin mis à jour pour informer les clients de notre nouvelle évaluation de l'impact potentiel de la vulnérabilité et de sa note de gravité mise à jour. Le patch d'origine libéré avec ce bulletin était et est efficace pour empêcher l'exploitation de la vulnérabilité. Il est également efficace d'éliminer toutes les vulnérabilités traitées par des bulletins antérieurs pouvant permettre à une partie malveillante de lancer un code sur la machine d'un utilisateur qui a visité un site Web hostile ou a ouvert un message électronique HTML malveillant. Microsoft exhorte fortement tous les clients à installer le patch.

Bulletin de sécurité Microsoft MS02-068 Logiciels associés