Internet Explorer toujours vulnérable malgré le correctif Microsoft


- [Bulletin Initial] - Microsoft vient d'annoncer la disponibilité d'un pseudo-correctif visant à corriger une partie des vulnérabilités critiques identifiées dans Internet Explorer, dont certaines, largement exploitées par des sites malicieux (Adware I-Lookup, les troyens Scob/Download.Jet et plusieurs autres incidents).

En réalité, ce pseudo-correctif modifie la configuration de Windows (XP, 2000, 2003 Server) mais ne corrige pas les failles. Il contourne le problème en désactivant l'objet ADODB.Stream, ce qui empêchera l'exécution de scripts à partir de la zone locale (Local Machine zone).

Pour désactiver ADODB.Stream, vous avez le choix entre deux méthodes :

 

Vulnérables:
  • Microsoft Internet Explorer 5.01 SP3
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 6.0 SP1
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.8

Liens :

http://www.k-otik.net/bugtraq/06112004.IE.php
https://k-otik.com/news/06302004.IEtheStar.php
https://k-otik.com/news/06252004.IIS0day.php
http://support.microsoft.com/?kbid=870669


Changelog :
02 Juillet 2004 (16h44) : Version Initiale
02 Juillet 2004 (21h00) : Internet Explorer toujours vulnérable à une autre faille critique
03 Juillet 2004 (23h20) : Correctifs Windows 9.x & Me
04 Juillet 2004 (12h02) : RegFix contre la variante
Shell.Application
13 Juillet 2004 (12h02) : Variante Wscript.Shell
14 Juillet 2004 (20h25) : Correction partielle des variantes.
30 Juillet 2004 (21h12) : Publication du patch
MS04-024


 


1) Méthode Automatique : Installer le correctif

Windows XP, Windows 2000, Windows NT, Windows Server 2003
http://www.microsoft.com/downloads/detail[...]D237E3&displaylang=fr

Windows 9x, Windows ME
http://www.microsoft.com/downloads/details.a[...]D8C2&displaylang=fr

Windows XP Version 2003, 64 Bit Edition , Windows Server 2003, 64 Bit Edition
http://www.microsoft.com/downloads/details.a[...]ECF&displaylang=fr

2) Méthode Manuelle : (réservée aux professionnels)

  1. Cliquer sur "Démarrer", puis "Exécuter", "Regedit"
  2. Trouver la clé :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
  3. Click droit sur "ActiveX Compatibility", puis "Nouveau", "Clé".
  4. Renommer cette nouvelle clé en : {00000566-0000-0010-8000-00AA006D2EA4}
  5. Click droit sur la nouvelle clé, puis "Nouveau", "Valeur DWORD".
  6. Renommer cette valeur en : "Compatibility Flags".
  7. Click droit sur "Compatibility Flags", puis "Modifier".
  8. Dans la fenêtre d'Edition de la valeur DWORD, sélectionner l'option Hexadécimal, puis spécifier dans "Données de la Valeur", la valeur : 400, puis cliquer sur "OK".
  9. Fermer le Registre.
Update (1) : Ces variantes ont été "partiellement" corrigées (le 13 Juillet 2004) avec le correctif MS04-024

Update (2) : Microsoft a publié un correctif fixant cette vulnérabilité critique MS04-024 (le 30 Juillet 2004)

Note : Suite à l'application du patch MS04-024, l'accès à une page HTML contenant un objet ADO stream, affichera l'erreur : ActiveX component can’t create object: ‘ADODB.Stream’

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits