Mise à jour de la sécurité, 16 août 2000
Cette mise à jour contient plusieurs mises à jour pour des vulnérabilités de la sécurité dans Internet Explorer qui sont parues depuis la mise sur le marché de Windows Me. Elle est traitée dans le Bulletin de sécurité Microsoft MS00-055. Téléchargez-la maintenant pour résoudre les vulnérabilités de la sécurité « Scriptlet Rendering » et « Frame Domain Verification », ainsi que d'autres vulnérabilités dans Internet Explorer.
Cette mise à jour résout les vulnérabilités de la sécurité suivantes :
- Vulnérabilité « Scriptlet Rendering ». Le contrôle ActiveX® utilisé pour appeler les scriptlets est essentiellement un moteur de rendu HTML. Il peut néanmoins restituer n'importe quel autre type de fichier. Un opérateur de site Web malveillant peut en profiter pour fournir des informations de script erronées et les inclure dans un fichier système Internet Explorer dont il connaît le nom, puis réutiliser le contrôle du scriptlet pour afficher le fichier. Le but de l'opération est de faire en sorte que le script s'exécute dans la zone locale de l'ordinateur et accède ainsi aux fichiers stockés dans le système de fichiers local de l'utilisateur.
- Nouvelle variante de la vulnérabilité « Frame Domain Verification ». La vulnérabilité « Frame Domain Verification » provient du fait que deux fonctions ne procèdent pas à une séparation correcte de cadres affichés dans une même fenêtre mais qui résident dans des domaines distincts. La nouvelle variante fait intervenir une troisième fonction qui suit le même processus. Cette vulnérabilité permet à un opérateur de site Web malveillant d'ouvrir deux cadres, l'un appartenant au domaine du site Web, et l'autre au système de fichier local de l'utilisateur, puis de faire en sorte que le second cadre transmette des informations au premier.
Pour pouvoir tirer parti de ces vulnérabilités, l'opérateur de site Web malveillant doit connaître le nom et le chemin d'accès des fichiers à consulter. Et s'il y parvient, il n'a accès qu'aux types de fichiers qui peuvent être ouverts dans une fenêtre de navigateur, comme les fichiers .txt ou .doc, mais pas les fichiers .exe ou .dat. Si le site Web se trouve dans une zone où Active Scripting est désactivé, aucune des deux vulnérabilités ne peut être exploitée.
Pour plus d'informations sur ces vulnérabilités, consultez le Bulletin de sécurité Microsoft MS00-055 (ce site est en anglais).
Cette mise à jour vous permet également de vous prémunir contre plusieurs autres vulnérabilités décrites dans des bulletins de sécurité précédemment publiés. Si vous appliquez cette mise à jour, vous serez protégé contre les vulnérabilités traitées de façon spécifique dans les Bulletins de sécurité Microsoft : MS00-033, MS00-039, MS00-049, et, pour Internet Explorer 5.5 uniquement, MS00-042 (ces sites sont en anglais).
Configuration requise
Cette mise à jour s'applique à Windows Millenium Edition (Windows Me).
Utilisation
Redémarrez votre ordinateur pour terminer l'installation.
La fonction de désinstallation n'est pas disponible.