MS01-058 : Correctif à la vulnérabilité des fichiers dans Internet Explorer 5.5 et Internet Explorer 6

Traductions disponibles Traductions disponibles
Numéro d'article: 313675 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F313675
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Cet article décrit une vulnérabilité des fichiers Internet Explorer et présente des informations sur le correctif permettant de la résoudre. Notez que, sauf spécification contraire, ces vulnérabilités affectent les deux versions 5.5 et 6 de Microsoft Internet Explorer.

La première vulnérabilité est due à une erreur de traitement des champs d'en-tête Content-Disposition et Content-Type dans un flux HTML (HyperText Markup Language). Ces champs, l'adresse URL (Uniform Resource Locator) hôte et les données du fichier hébergé déterminent la manière dont ce fichier sera traité lors de son téléchargement dans Internet Explorer. La vulnérabilité de sécurité tient au fait que si une personne malveillante modifie les informations d'en-tête HTML d'une certaine manière, Internet Explorer peut éventuellement interpréter qu'un fichier exécutable (.exe) est d'un autre type, qu'il est autorisé à ouvrir sans demander confirmation à l'utilisateur. La personne malveillante pourrait alors créer une page Web ou un message électronique HTML qui, une fois ouvert, exécuterait automatiquement un fichier .exe sur l'ordinateur de l'utilisateur.

La deuxième vulnérabilité s'apparente à la vulnérabilité "Frame Domain Verification" décrite dans le Bulletin de sécurité Microsoft MS01-015. Cette vulnérabilité peut permettre à un opérateur de site Web mal intentionné d'ouvrir deux fenêtres de navigateur, une dans le domaine du site Web et l'autre sur le système de fichiers local de l'utilisateur, et de transmettre des informations de cette dernière vers la première fenêtre. L'opérateur du site Web pourrait alors lire (mais pas modifier) tous les fichiers situés sur l'ordinateur local de l'utilisateur qui peuvent être ouverts dans une fenêtre de navigateur.

La troisième vulnérabilité implique une erreur dans l'affichage des noms de fichiers dans la boîte de dialogue Téléchargement de fichier. Au démarrage du téléchargement d'un fichier, une boîte de dialogue fournit à l'utilisateur le nom du fichier. Toutefois, dans certains cas, une personne malveillante peut être en mesure de modifier le nom du fichier, tel qu'il apparaît dans la boîte de dialogue. Ceci pourrait être invoqué à partir d'une page Web ou d'un message électronique HTML ayant pour objectif de tromper les utilisateurs et de leur faire accepter des types de fichiers non sécurisés à partir d'une source fiable.

Vulnérabilité d'exécution de fichier

Cette vulnérabilité ne peut pas être exploitée si les téléchargements de fichiers ont été désactivés dans la zone de sécurité dans laquelle le fichier est reçu. Dans la plupart des cas d'exploitation mal intentionnée de cette vulnérabilité, le fichier sera reçu d'une zone Internet ou Intranet. Vous pouvez donc désactiver le téléchargement de fichiers dans ces zones afin de protéger votre système. Toutefois, cela ne correspond pas au paramètre par défaut pour ces zones. Cette vulnérabilité concerne Internet Explorer 6.0 uniquement.

Variante de la vulnérabilité "Frame Domain Verification"

Cette vulnérabilité ne peut être exploitée que pour afficher des fichiers. Elle ne peut pas être utilisée pour créer, supprimer, modifier ou exécuter des fichiers. Cette vulnérabilité permet à un attaquant d'afficher des fichiers uniquement si ceux-ci peuvent être ouverts dans une fenêtre de navigateur, comme par exemple les fichiers image, HTML ou texte. D'autres types de fichiers (tels que les fichiers binaires, .exe, les documents Microsoft Word, etc.) ne pourront pas être consultés. En outre, la personne malveillante doit connaître le nom exact du fichier et son emplacement pour pouvoir lire le fichier sur l'ordinateur local.

Vulnérabilité liée à la falsification du nom de fichier

La décision de l'utilisateur d'accepter ou non le téléchargement d'un fichier à partir d'un site Web doit toujours être basée sur la fiabilité de la source et non sur le type de fichier. Les téléchargements de fichiers ne devraient jamais être acceptés à partir d'une source non fiable, même si le type de fichier paraît inoffensif.

Résolution

En plus des vulnérabilités décrites dans cet article, cette mise à jour supprime toutes les vulnérabilités de sécurité connues d'Internet Explorer 5.5 Service Pack 2 (SP2) et Internet Explorer 6.

Après avoir appliqué cette mise à jour, les cookies ASP sont bloqués si le nom du serveur contient des caractères non pris en charge par DNS. Les clients qui utilisent les contrôles ActiveX avec Inline Data Streaming disposent des options suivantes :
  • Installer le correctif de sécurité Internet Explorer MS01-058 et réécrire les applications en utilisant Inline Data Streaming. Il s'agit de l'option la plus sure.
  • Installer le correctif et travailler avec votre TAM (gestionnaire de compte technique, Technical Account Manager) ou le support clientèle Microsoft au 1-866-727-7338 (1-866-PCSafety) pour activer Inline Data Streaming et configurer correctement vos paramètres de zones de sécurité.

    AVERTISSEMENT : l'activation de la clé du Registre compromet l'un des correctifs de sécurité de Q313675, sélectionnez donc avec soin les paramètres de la zone pour limiter les risques.

Internet Explorer 6

Un correctif est désormais disponible auprès de Microsoft, mais il est destiné uniquement à résoudre le problème décrit dans cet article et ne doit être appliqué qu'aux systèmes reconnus comme étant vulnérables. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Consultez le bulletin de sécurité Microsoft associé pour vous aider à effectuer cette évaluation. Ce correctif pourra être soumis à des tests ultérieurs afin d'assurer la qualité du produit. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie de la prochaine version de Microsoft Internet Explorer 6, qui contiendra le correctif en question.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions ci-dessous ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des services de Support technique Microsoft et leur numéro de téléphone, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp
REMARQUE : dans certains cas, les tarifs normaux relatifs aux appels de support technique ne seront pas appliqués si le membre de l'équipe de Support technique contacté détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux questions supplémentaires et aux problèmes non traités par la mise à jour en question.

Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est remplacé par le correctif suivant :
316059 MS02-005 : Correctif cumulatif pour Internet Explorer du 11 février 2002
Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est disponible sur le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

Internet Explorer 5.5

Un correctif est désormais disponible auprès de Microsoft, mais il est destiné uniquement à résoudre le problème décrit dans cet article et ne doit être appliqué qu'aux systèmes reconnus comme étant vulnérables. Vérifiez l'accessibilité physique de votre ordinateur, la connectivité réseau et Internet, ainsi que d'autres facteurs afin de déterminer le niveau de risque auquel est soumis votre ordinateur. Consultez le bulletin de sécurité Microsoft associé pour vous aider à effectuer cette évaluation. Ce correctif pourra être soumis à des tests ultérieurs afin d'assurer la qualité du produit. Si votre ordinateur est réellement exposé, Microsoft vous recommande d'utiliser ce correctif dès à présent. Sinon, attendez la sortie de la prochaine version de Microsoft Internet Explorer 5.5, qui contiendra le correctif en question.

Pour résoudre ce problème dès à présent, téléchargez ce correctif en suivant les instructions ci-dessous ou procurez-vous le correctif auprès des services de Support technique Microsoft. Pour obtenir une liste complète des services de Support technique Microsoft et leur numéro de téléphone, ainsi que des informations relatives aux frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp
REMARQUE : dans certains cas, les tarifs normaux relatifs aux appels de support technique ne seront pas appliqués si le membre de l'équipe de Support technique contacté détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux questions supplémentaires et aux problèmes non traités par la mise à jour en question.

Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est remplacé par le correctif suivant :
316059 MS02-005 : Correctif cumulatif pour Internet Explorer du 11 février 2002
Le correctif "Mise à jour de la sécurité, 13 décembre 2001" est disponible sur le site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

Statut

Internet Explorer 6

Microsoft a confirmé que ce problème pouvait entraîner une certaine vulnérabilité de sécurité dans Internet Explorer 6.

Internet Explorer 5.5

Microsoft a confirmé que ce problème pouvait entraîner une certaine vulnérabilité de sécurité dans Internet Explorer 5.5.

Plus d'informations

Pour plus d'informations sur les commutateurs disponibles pour l'installation de cette mise à jour, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
200007 Commutateurs d'installation de Microsoft Internet Explorer en mode batch
Pour plus d'informations sur ce problème de vulnérabilité, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp

Propriétés

Numéro d'article: 313675 - Dernière mise à jour: lundi 24 février 2014 - Version: 4.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0 sur le système suivant
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Deuxième Édition
    • Microsoft Windows 98 Standard Edition
    • Microsoft Windows NT Workstation 4.0 Édition Développeur
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professionnel
    • Microsoft Windows 2000 Server
Mots-clés : 
kbnosurvey kbarchive kbbug kbenv kbfix kbie550presp3fix kbie600presp1fix kbsecurity kbtool KB313675
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com