Vulnerability Notification

Security Bulletin N° 2013100201
Vulnerability Notification
Version 1.0 - 02.10.2013 (Final)
Classification : PUBLIC / TLP WHITE
Department : GOVCERT.LU
Security Bulletin N° 2013100201
GOVCERT.LU © All rights reserved
Version
Index
Revision control
1
0
02.10.2013
Department :
Classification :
TLP :
GOVCERT.LU
PUBLIC
WHITE
Date
Modification description
Final version
Origin of the
modification request
(name, surname and
function)
GOVCERT.LU
2/3
Createn date (Final): 02.10.2013
Version: 1.0
Filename : vn2013100201
Vulnerability Notifcation (Final)
Security Bulletin N° 2013100201
GOVCERT.LU © All rights reserved
Objet
Vulnérabilités dans Microsoft Internet Explorer [1]
Classification
TLP-WHITE
Destinataires
GOVCERT.LU Constituency (contacts techniques)
Criticité
Haute
Impact
Exécution de code à distance
Systèmes concernés
Tout système avec Internet Explorer 8 et 9.
En prinicipe la vulnérabilité CVE-2013-3893 est aussi valable pour les versions d'Internet
Explorer 6 – 11, mais pour ces versions elle n'est pas encore exploitée (ce qui est juste une
question de temps).
Avec la publication récente d'un module Metasploit qui permet d’utiliser cette vulnérabilité
pour compromettre des systèmes cibles (Office 2007 ou Office 2010 requis), la probabilité
d'attaques qui se basent sur cette faille devient grande.
Correction
A ce jour Windows update ne corrige pas cette erreur, mais il existe un tool Fix-it [2] pour
corriger provisoirement.
Mitigation
Limiter l'utilisation d'Internet Explorer au stricte minimum et préférer les navigateurs Firefox
ou Chrome.
Références
[1] http://technet.microsoft.com/en-us/security/advisory/2887505
[2] http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
Department :
Classification :
TLP :
GOVCERT.LU
PUBLIC
WHITE
3/3
Createn date (Final): 02.10.2013
Version: 1.0
Filename : vn2013100201
Vulnerability Notifcation (Final)