Par Fabien Lesner (K-OTik) - L'équipe de Microsoft a publié hier un patch de sécurité fixant plusieurs vulnérabilités présentes dans Internet Explorer (M03-032). La faille la plus dangereuse permet l'exécution de code arbitraire grâce à une simple email ou une page HTML. Cette vulnérabilité est similaire à celle découverte en Mars 2001 (MS01-020) et qui avait provoqué à l'époque une belle pagaille numérique avec l'apparition des virus Klez, Nimda et Badtrans.

Cet exploit donne une idée sur la gravité du problème : grâce à une simple page html et un tag "Object Data", il est possible de lancer n'importe quel exécutable (présent en local ou sur un serveur distant), l'utilisateur vulnérable n'est même pas obligé de cliquer sur un lien ou d'ouvrir un fichier attaché, la simple visite de la page malveillante provoquera l'exécution du code avec les privilèges de l'utilisateur en cours.

Il est donc impératif de patcher immédiatement tous les systèmes utilisant IE 5.01 - 5.5 et 6.0.

-------------------------------------------------  Exploit -----------------------------------------------------
// k-otik says : A Minimum Skill Level is Needed to use this exploit
// Content-type & Object Data are the enemies - Read the original advisory



---------------------------------------------------------------------------------------------------------------------

Article Original : K-OTik.com