L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

avis de vulnérabilité CVE-2004-1050

Buffer overflow de IFRAME, FRAME et EMBED

Synthèse de la vulnérabilité

Un attaquant peut créer une page HTML, dont la visualisation provoque l'exécution de code sur la machine.
Logiciels impactés : IE.
Gravité de cette vulnérabilité informatique : 3/4.
Conséquences d'une attaque : accès/droits utilisateur.
Origine de l'attaquant : serveur internet.
Date création : 09/11/2004.
Dates révisions : 10/11/2004, 02/12/2004, 06/12/2004.
Références de cette annonce : BID-11515, CERTA-2004-AVI-383, CVE-2004-1050, MS04-040, V6-IEIFRAMEEMBEDBOF, VIGILANCE-VUL-4504, VU#842160.

Description de la vulnérabilité

Le tag FRAME scinde le document en plusieurs cadres. Le tag IFRAME (Inline Frame) insère un cadre au sein d'une page HTML. Le tag EMBED insère un objet. Ces trois tags possèdent les propriétés SRC et NAME. Le code en charge de gérer le décodage de ces tags est situé dans la bibliothèque shdocw.dll.

Cependant, cette DLL ne vérifie pas correctement la taille des propriétés SRC et NAME. Un attaquant peut donc créer une page HTML dont la visualisation provoque l'exécution de code sur la machine de l'utilisateur.

Cette vulnérabilité est notamment employée par le ver W32/Bofra ou Mydoom.AG/AH.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des bulletins de vulnérabilités applicatives. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.