FIX : Un code non approuvé peut accéder aux fichiers sur le système de l'utilisateur final

Traductions disponibles Traductions disponibles
Numéro d'article: 253562 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F253562
Agrandir tout | Réduire tout

Symptômes

La version de la Machine virtuelle Microsoft incluse avec Microsoft Internet Explorer 4.x et Internet Explorer 5 et 5.01 comporte un défaut de sécurité pouvant permettre à l'opérateur d'un site Web malveillant d'écrire une applet Java qui pourrait lire (mais pas modifier, supprimer, ni ajouter) des fichiers sur l'ordinateur d'un internaute visiteur, ou lire le contenu Web d'un intranet si ce site a été visité par un ordinateur appartenant à cet intranet. L'utilisateur malveillant aurait besoin de connaître le chemin exact et le nom des fichiers qu'il ou elle souhaite lire.

Cause

Ce problème est dû à la façon dont le chemin de la classe système par défaut est défini lorsque la Machine virtuelle Microsoft est installée. En fonction de la version Internet Explorer installée, cela peut permettre à un code non approuvé de lire des fichiers dans le répertoire racine (en général " C:\ ") ou le répertoire bureau (en général %systemroot%\Profiles\User name\Desktop).

Résolution

Pour résoudre ce problème, procurez-vous la dernière version du Service Pack Windows 2000. Pour plus d'informations, reportez-vous à l'article suivant dans la Base de connaissances Microsoft :
260910 Procédure pour obtenir la dernière version du Service Pack Windows 2000
Pour résoudre ce problème potentiel, installez une version de la Machine virtuelle Microsoft contenant un correctif pour ce défaut de sécurité :

AVERTISSEMENT : Notez qu'une fois que vous avez installé la mise à jour de la Machine virtuelle Microsoft, elle ne peut pas être désinstallée.Pour déterminer le numéro de compilation de la Machine virtuelle Microsoft, procédez comme suit :
    • Ouvrez une fenêtre de Commande :

        • Dans Windows 2000 et Windows NT, cliquez sur Démarrer, sur Exécuter, tapez " cmd " (sans les guillemets), puis cliquez sur OK.
        • Dans Windows 95 ou Windows 98, cliquez sur Démarrer, sur Exécuter, tapez " command " (sans les guillemets), puis cliquez sur OK.

    • À l'invite de Commande, tapez " jview " (sans les guillemets) et appuyez sur ENTRÉE.
    • L'information sur la version se trouve à droite de la ligne du haut de la liste. Elle ressemble à ceci : " 5.00.xxxx ", où " xxxx " est le numéro de compilation. Par exemple, si le numéro de version est 5.00.1234, vous avez le numéro de compilation 1234.



Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés au début de cet article. Ce problème a été corrigé dans le Service Pack 1 Windows 2000.

Ce problème a été corrigé dans les versions de la Machine virtuelle Microsoft listées plus haut dans cet article.

Plus d'informations

Pour plus d'informations, veuillez consulter le bulletin de sécurité de Microsoft suivant :
http://www.microsoft.com/technet/security/bulletin/fq00-066.asp
Pour plus d'informations sur la sécurité des produits Microsoft, veuillez consulter le site Web Microsoft suivant :
http://www.microsoft.com/technet/security

Références

Pour consulter les derniers articles de la Base de connaissances Microsoft ou d'autres informations sur Visual J++ et le Kit de développement de logiciel pour Java, consultez les pages suivantes sur le site de support technique de Microsoft :
http://www.microsoft.com/france/visualj/support.asp

http://support.microsoft.com/support/java/

Propriétés

Numéro d'article: 253562 - Dernière mise à jour: lundi 6 août 2007 - Version: 4.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Virtual Machine for Java
  • Microsoft Internet Explorer 5.0
  • Microsoft Internet Explorer 5.01
Mots-clés : 
kbbug kbfix kbgrpjava kbie400 kbie500 kbie501 kbjavavm kbsecurity kbwin2000presp1fix kbwin2000sp1fix KB253562
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com