L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

avis de vulnérabilité CVE-2001-0665

Relayage de commandes HTTP par IE

Synthèse de la vulnérabilité

En concevant des url malicieuses, un attaquant distant peut mener des attaques basées sur HTTP par le biais de l'utilisateur.
Logiciels impactés : Exchange, IIS, Microsoft Indexing Service, IE, Office, Outlook, OE, PWS, Site Server, SQL Server, Windows 2000, Windows 98, Windows ME, Windows NT, Windows XP.
Gravité de cette vulnérabilité informatique : 1/4.
Conséquences d'une attaque : effacement de données.
Origine de l'attaquant : serveur internet.
Date création : 11/10/2001.
Dates révisions : 01/02/2002, 13/02/2002, 26/02/2002, 10/09/2002.
Références de cette annonce : BID-3421, CERTA-2001-AVI-116, CVE-2001-0665, MS01-051, Q306121, Q308414, Q309521, Q311401, Q316059, V6-IEHTTPREQUESTDELDATA, VIGILANCE-VUL-1924.

Description de la vulnérabilité

Le navigateur Internet Explorer possède de nombreuses fonctionnalités. L'une d'elle lui permet dans une simple URL de spécifier:
 - un nom de domaine sur lequel se connecter, et
 - une série de requêtes HTTP à effectuer sur celui-ci.

Une erreur de conception d'IE fait que ce type d'url est exécuté même si elle correspond à un site web distant.

Un attaquant connaissant parfaitement l'architecture du site cible peut:
 - concevoir un site web contenant des url malicieuses, et
 - attendre qu'un utilisateur se connecte sur son site web, puis
 - l'inciter à utiliser ces urls.

Dans un tel contexte l'attaquant peut:
 - soit corrompre les données de l'utilisateur si celui-ci se connecte sur des services basés sur HTTP (ex: webmail, banque en ligne, site commercial, etc.)
 - soit mener une attaque "HTTP" vers un site web par le biais de l'utilisateur.

L'attaquant peut donc mener des attaques sur une machine cible (ex: VIGILANCE-VUL-1592), sans que son adresse IP ne soit loguée par le serveur cible.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une alerte de vulnérabilité applicative. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.