Ce défaut de sécurité est causé par une erreur dans la librairie d'édition HTML "mshtml".dll" qui survient pendant l'exécution de certains objets javascript. Ceci permet à un attaquant d'éxecuter un code arbitraire en incitant l'utilisateur à visiter une page web piégée spécialement conçue. ainsi un attaquant distant peut compromettre le système en exploitant cette faille.

Notons que cette vulnérabilité est actuellement exploitée et concerne même les navigateurs IE 8 installés sur des systèmes d'exploitation Windows XP SP3 et Windows 7 complétement patchés.

Les produits suivants sont affectés par ce défaut de sécurité:

• Microsoft Internet Explorer 6.x Microsoft Internet Explorer 7.x
• Microsoft Internet Explorer 8.x
• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 3
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition Service Pack 2
• Microsoft Windows Vista x64 Edition Service Pack 2
• Microsoft Windows Vista x64 Edition Service Pack 1
• Microsoft Windows Vista x64 Edition
• Microsoft Windows Vista Service Pack 2
• Microsoft Windows Vista Service Pack 1
• Microsoft Windows Vista Microsoft Windows Server 2008 R2 (x64)
• Microsoft Windows Server 2008 R2 (Itanium)
• Microsoft Windows Server 2008 (x64) Service Pack 2
• Microsoft Windows Server 2008 (x64)
• Microsoft Windows Server 2008 (Itanium) Service Pack 2
• Microsoft Windows Server 2008 (Itanium)
• Microsoft Windows Server 2008 (32-bit) Service Pack 2
• Microsoft Windows Server 2008 (32-bit)
• Microsoft Windows Server 2003 x64 Edition Service Pack 2
• Microsoft Windows Server 2003 SP2 (Itanium)
• Microsoft Windows Server 2003 Service Pack 2
• Microsoft Windows 7 (x64) Microsoft Windows 7 (32-bit)

Solution:

Comme aucun correctif officiel n'est encore disponible pour le moment, la solution préventive est de désactiver l'exécution des scripts dans les zones de sécurité Internet et réseau local.

Source:

VUPEN Security