Numéro d'article: 312461 - Dernière mise à jour: vendredi 15 septembre 2006 - Version: 2.6

MS01-055 : Les données contenues dans les cookies Internet Explorer peuvent être découvertes ou modifiées par l'intermédiaire d'un script

Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.
Ancien nº de publication de cet article : F312461

Sommaire

Agrandir tout | Réduire tout

Symptômes

Un problème de sécurité potentiel existe dans Internet Explorer versions 5.5 et 6 pouvant permettre à un utilisateur malveillant de créer une URL qui permet à un site Web d'accéder sans y être autorisé à des cookies stockés sur votre ordinateur et ensuite (éventuellement) de modifier les valeurs qui s'y trouvent. Comme certains sites Web utilisent des cookies stockés sur votre ordinateur pour enregistrer des informations personnelles, il se peut aussi que ces informations puissent être découvertes.

Pour qu'une exploitation malveillante de ce problème de sécurité soit possible, il faudrait qu'un utilisateur décide de cliquer sur une URL d'une page qu'un utilisateur malveillant a hébergée sur son site, ou de cliquer sur une URL incorporée dans un message électronique HTML que ce dernier a envoyé. Un appel automatique sans interaction de l'utilisateur n'est pas possible.
Retour au début

Facteurs atténuants

  • Un utilisateur doit d'abord être convaincu de visiter un site Web nuisible ou d'ouvrir un message électronique HTML contenant l'URL incorrecte. L'utilisateur doit alors décider de cliquer sur l'URL spécialement créée.
  • Les utilisateurs qui ont appliqué la mise à jour de sécurité de messagerie électronique Microsoft Outlook ne sont pas concernés par l'exploitation électronique HTML de ce problème de sécurité.
  • Les utilisateurs qui ont configuré Outlook Express pour utiliser la zone Sites sensibles ne sont pas concernés par l'exploitation électronique HTML de ce problème de sécurité. Notez qu'il s'agit du paramètre par défaut pour Microsoft Outlook Express 6.
Retour au début

Résolution

Ce correctif requiert que les domaines qui utilisent des cookies DOIVENT contenir uniquement des caractères alphanumériques (ou '-' ou '.') dans le nom de domaine. Si tel n'est pas le cas, les cookies ne fonctionneront pas correctement.
Retour au début

Internet Explorer 6

Un correctif est désormais disponible auprès de Microsoft, mais il est destiné uniquement à résoudre le problème décrit dans cet article et ne doit être appliqué qu'aux systèmes reconnus comme étant vulnérables. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Consultez le bulletin de sécurité Microsoft (http://www.microsoft.com/technet/security/bulletin/ms01-051.asp) associé pour vous aider à effectuer cette évaluation. Ce correctif pourra être soumis à des tests ultérieurs afin d'assurer la qualité du produit. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie du prochain Service Pack de Microsoft Internet Explorer 6, qui contiendra le correctif en question.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions ci-dessous ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des services de Support technique Microsoft et leur numéro de téléphone, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fdirectory%2foverview.asp)
REMARQUE : dans certains cas, les tarifs normaux relatifs aux appels de support technique ne seront pas appliqués si le membre de l'équipe de Support technique contacté détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux questions supplémentaires et aux problèmes non traités par la mise à jour en question.

Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est remplacé par le correctif suivant :
316059  (http://support.microsoft.com/kb/316059/FR/ ) MS02-005 : Correctif cumulatif pour Internet Explorer du 11 février 2002
Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est disponible sur le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp (http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp)

Retour au début

Internet Explorer 5.5

Un correctif est désormais disponible auprès de Microsoft, mais il est destiné uniquement à résoudre le problème décrit dans cet article et ne doit être appliqué qu'aux systèmes reconnus comme étant vulnérables. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Consultez le bulletin de sécurité Microsoft (http://www.microsoft.com/technet/security/bulletin/ms01-051.asp) associé pour vous aider à effectuer cette évaluation. Ce correctif pourra être soumis à des tests ultérieurs afin d'assurer la qualité du produit. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie du prochain Service Pack de Microsoft Internet Explorer 5.5, qui contiendra le correctif en question.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions ci-dessous ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des services de Support technique Microsoft et leur numéro de téléphone, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fdirectory%2foverview.asp)
REMARQUE : dans certains cas, les tarifs normaux relatifs aux appels de support technique ne seront pas appliqués si le membre de l'équipe de Support technique contacté détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux questions supplémentaires et aux problèmes non traités par la mise à jour en question.

Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est remplacé par le correctif suivant :
316059  (http://support.microsoft.com/kb/316059/FR/ ) MS02-005 : Correctif cumulatif pour Internet Explorer du 11 février 2002
Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est disponible sur le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp (http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp)

REMARQUE : pour empêcher que l'ordinateur ne redémarre au cours de l'installation, ajoutez le commutateur "/r.n." (sans les guillemets) au fichier Q312461.exe lorsque vous installez le correctif.
Retour au début

Contournement

Pour contourner ce problème, vous pouvez désactiver Active Scripting dans les zones Internet et Intranet dans Internet Explorer. Pour empêcher l'utilisation de ce problème de sécurité lorsque vous utilisez la fonctionnalité d'affichage HTML d'Outlook Express, vous devez configurer Outlook Express pour utiliser la zone Sites sensibles.
Retour au début

Désactivation de Active Scripting dans Internet Explorer

  1. Démarrez Internet Explorer.
  2. Dans le menu Outils, cliquez sur Options Internet.
  3. Sous l'onglet Sécurité, cliquez sur Personnaliser le niveau.
  4. Dans la zone Paramètres, cliquez sur Désactiver sous Active Scripting et Script des applets Java .
  5. Cliquez sur OK à deux reprises.
REMARQUE : si vous désactivez Active Scripting dans Internet Explorer et utilisez Microsoft Outlook Web Access (OWA) comme client de messagerie, vous pourrez perdre certaines fonctionnalités d'OWA. Pour conserver toutes les fonctionnalités d'OWA, ne désactivez pas Active Scripting dans Internet Explorer.
Retour au début

Activation de la zone Sites sensibles dans Outlook Express

  1. Démarrez Outlook Express.
  2. Dans le menu Outils, cliquez sur Options.
  3. Cliquez sur l'onglet Sécurité, cliquez sur la zone Sites sensibles (la plus sécurisée) , puis cliquez sur OK.
REMARQUE : pour les sites qui ont été désactivés ou ceux dont la fonctionnalité a été modifiée en désactivant Active Scripting, ces sites peuvent être activés en ajoutant ce site dans la zone Sites de confiance. Tous les sites entrés de cette façon disposent de paramètres de sécurité associés à une zone de confiance. Pour ce faire :
  1. Démarrez Internet Explorer.
  2. Cliquez sur Outils, sur Options Internet, puis sur l'onglet Sécurité.
  3. Sélectionnez Sites de confiance, puis cliquez sur Sites.
  4. Tapez le nom de la page Web qui doit être répertoriée comme site de confiance, puis cliquez sur Ajouter. Répétez ce processus pour chaque page Web à ajouter à la liste.
  5. Lorsque vous avez entré toutes les pages Web dans la liste, cliquez sur OK et encore sur OK.
Retour au début

Statut

Internet Explorer 6

Microsoft a confirmé que ce problème pouvait entraîner une certaine vulnérabilité de sécurité dans Internet Explorer 6.
Retour au début

Internet Explorer 5.5

Microsoft a confirmé que ce problème pouvait entraîner une certaine vulnérabilité de sécurité dans Internet Explorer 5.5.
Retour au début

Plus d'informations

Pour plus d'informations sur ce problème de vulnérabilité, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/security/bulletins/ms01-055.asp (http://www.microsoft.com/security/bulletins/ms01-055.asp)
Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 6.0 sur le système suivant
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Retour au début
Mots-clés : 
kbbug kbfix kbsecvulnerability kbinterop kbie600presp1fix kbenv kbnetwork kbsecurity kbie550presp3fix kbsechack KB312461
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.