Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une erreur présente au niveau de la fonction glisser-déposer (Drag et Drop) qui ne valide pas correctement certains événements HTML (DHTML) dynamiques, ce qui pourrait être exploité par un site web malveillant afin de contourner les mesures de sécurité et placer des fichiers malicieux au sein d'un système vulnérable en incitant un utilisateur à déplacer un objet depuis une fenêtre web spécialement conçue vers une seconde fenêtre pointant vers des ressources locales [...]
Solution
Aucun correctif officiel n'est disponible pour l'instant.
Solution Temporaire
Désactiver Active Scripting dans les zones "Internet" et "Intranet local" :
- Dans Internet Explorer, cliquer sur Options Internet dans le menu Outils.
- Cliquer sur l’onglet Sécurité.
- Cliquer sur Internet, puis sur Personnaliser le niveau.
- Sous Paramètres, dans la section Script, sous Active Scripting, cliquer sur Désactiver, puis sur OK.
- Cliquer sur Intranet local, puis sur Personnaliser le niveau.
- Sous Paramètres, dans la section Script, sous Active Scripting, cliquer sur Désactiver, puis sur OK.
- Cliquer sur OK à deux reprises pour retourner dans Internet Explorer.
Note : La désactivation de l'Active Scripting pourrait perturber l'affichage et le fonctionnement de certains sites Web.
Crédit
Vulnérabilité découverte par Matthew Murphy
Historique
2006-02-13 : Version Initiale
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
