From w.naef@iwar.org.uk Tue Feb 3 12:45:33 2004 From: "Wanja Eric Naef [IWS]" To: Infocon Date: Mon, 2 Feb 2004 23:25:04 -0000 Subject: [INFOCON] PSEPC Advisory AV04-003: MICROSOFT INTERNET EXPLORER SECURITY BULLETIN --------------------------------------------------------- La version française suit CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS ***************** ADVISORY ***************** Number: AV04-003 Date: 02 February 2004 ********************************************** MICROSOFT INTERNET EXPLORER SECURITY BULLETIN ********************************************** PURPOSE The purpose is to bring attention to Microsoft critical security bulletin MS04-004 which concerns three vulnerabilities in Internet Explorer (all versions). ASSESSMENT Microsoft released MS04-004 which concerns the following three vulnerabilities: 1) A vulnerability that involves the cross-domain security model of Internet Explorer. The cross domain security model of Internet Explorer keeps windows of different domains from sharing information. This vulnerability could result in the execution of script in the Local Machine zone. 2) A vulnerability that involves performing a drag-and-drop operation with function pointers during dynamic HTML (DHTML) events in Internet Explorer. This vulnerability could allow a file to be saved in a target location on the user's system if the user clicked a link. No dialog box would request that the user approve this download. 3) A vulnerability that involves the incorrect canonicalization of URLs that contain special characters. When combined with a misuse of the basic authentication feature that has "username:password@" at the beginning of a URL, this vulnerability could result in a misrepresentation of the URL in the address bar of an Internet Explorer window. SUGGESTED ACTION PSEPC recommends security administrators test and apply the patches. Further details on the vulnerabilities and associated mitigations can be found at: http://www.microsoft.com/technet/security/bulletin/ms04-004.asp Note to Readers Public Safety and Emergency Preparedness Canada (PSEPC) collects information related to cyber and physical threats to, and incidents involving, Canadian critical infrastructure. This allows us to monitor and analyse threats and to issue alerts, advisories and other information products to our partners. To report threats or incidents, please contact the PSEPC operations coordination centre at (613) 991-7000 or opscen@ocipep-bpiepc.gc.ca by e-mail. Unauthorized use of computer systems and mischief in relation to data are serious Criminal Code offences in Canada. Any suspected criminal activity should be reported to local law enforcement organizations. The RCMP National Operations Centre (NOC) provides a 24/7 service to receive such reports or to redirect callers to local law enforcement organizations. The NOC can be reached at (613) 993-4460. National security concerns should be reported to the Canadian Security Intelligence Service (CSIS) at (613) 993-9620. For general information on critical infrastructure protection and emergency preparedness, please contact our Public Affairs division at: Telephone: (613) 944-4875 or 1-800-830-3118 Fax: (613) 998-9589 E-mail: communications@ocipep-bpiepc.gc.ca ================================================== PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET PROTECTION CIVILE ************************ AVIS DE SÉCURITÉ ************************ Numéro: AV04-003 Date: 02 février 2004 *************************************************** BULLETIN DE SÉCURITÉ DE MICROSOFT INTERNET EXPLORER *************************************************** BUT Cet avis de sécurité vise à attirer votre attention sur le bulletin de sécurité MS04-004 émis par Microsoft concernant les trois vulnérabilités dans Internet Explorer (toutes les versions). ÉVALUATION Microsoft a émis un bulletin MS04-004 en ce qui concerne ces trois vulnérabilités : 1) Une des vulnérabilités concerne le modèle de sécurité du domaine transversal d'Internet Explorer. Ce modèle empêche les fenêtres de différents domaines de partager l'information. Cette vulnérabilité pourrait entraîner l'exécution d'un script dans la zone « Machine locale ». 2) Une vulnérabilité qui comprend l'exécution de l'opération « traîner et relâcher » avec les indicateurs de fonction lors d'événements HTML (SHTML) dynamique dans Internet Explorer. Cette vulnérabilité pourrait faire en sorte qu'un fichier soit sauvegardé dans un emplacement cible sur le système de l'utilisateur si ce dernier clique un lien. Aucune boîte de dialogue ne demandera à l'utilisateur d'autoriser ce téléchargement. 3) Une vulnérabilité qui comprend une canonicalisation inexacte des URL comportant des caractères spéciaux. Lorsque combinée avec une mauvaise utilisation de la particularité d'authentification de base qui comprend « nom de l'utilisateur: mot de passe@ » au début d'un URL, cette vulnérabilité pourrait entraîner une fausse représentation URL à la ligne de l'adresse d'une fenêtre Internet Explorer. MESURE PROPOSÉE Le ministère de la SPPC recommande aux administrateurs de la sécurité de faire l'essai et d'appliquer les rustines appropriées. Pour de plus amples renseignements concernant ces vulnérabilités et les mesures utilisées pour les atténuer, veuillez consulter : http://www.microsoft.com/technet/security/bulletin/ms04-004.asp Avis aux lecteurs Sécurité publique et Protection civile Canada (SPPCC) recueille des renseignements concernant les menaces et les incidents cybernétiques et matériels contre les infrastructures essentielles (IE) du Canada. Ceci permet à SPPCC de surveiller et d'analyser les menaces et de diffuser des alertes, des avis de sécurité, ainsi que d'autres produits d'information à nos partenaires. Pour signaler menaces ou incidents, veuillez communiquer avec le centre de coordination des opérations de SPPCC au (613) 991-7000 ou à opscen@bpiepc-ocipep.gc.ca par courriel. L'utilisation non autorisée des systèmes informatiques et les méfaits relatifs aux données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la GRC est ouvert tous les jours, 24 heures sur 24, pour recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux d'application de la loi. Vous pouvez joindre le CNO au (613) 993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS) au (613) 993-9620. Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec notre direction des Affaires publiques. Téléphone : (613) 944-4875 ou 1-800-830-3118 Télécopieur : (613) 998-9589 Courriel : communications@bpiepc-ocipep.gc.ca ------------------------------------------------------------------------ Information is the currency of victory on the battlefield. GEN Gordon Sullivan, CSA (1993) ------------------------------------------------------------------------ INFOCON Mailing List @ IWS - The Information Warfare Site http://www.iwar.org.uk ------------------------------------------------------------------------ To subscribe, change your subscription or unsubscribe go to http://www.iwar.org.uk/mailman/listinfo/infocon/ ------------------------------------------------------------------------