S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 novembre 2000
N° CERTA-2000-AVI-068
Affaire suivie par: CERT-FR
le 03 novembre 2000

Avis du CERT-FR

Objet: Vulnérabilité dans un contrôle ActiveX de Windows 2000

Gestion du document

Référence CERTA-2000-AVI-068
Titre Vulnérabilité dans un contrôle ActiveX de Windows 2000
Date de la première version 03 novembre 2000
Date de la dernière version 03 novembre 2000
Source(s) Bulletin de sécurité Microsoft
Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire.

Systèmes affectés

  • Windows 2000 Professional;
  • Windows 2000 Server;
  • Windows 2000 Advanced Server;
  • Windows 2000 Datacenter Server.

Résumé

Un contrôle ActiveX de Windows 2000 permet à un utilisateur mal intentionné d'exécuter du code grâce à un débordement de mémoire dans ce contrôle.

Description

Une mauvaise implémentation du contrôle ActiveX Microsoft System Monitor permet à un utilisateur mal intentionné de construire habilement une page web ou un courrier électronique au format HTML, et d'exécuter du code arbitraire sur la machine de la victime qui le lit.

Contournement provisoire

Désactiver l'exécution des Contrôles ActiveX de votre navigateur et du logiciel de courrier électronique comme indiqué dans les bulletins CERTA-2000-AVI-002, CERTA-2000-ALE-001, CERTA-2000-ALE-002 et CERTA-2000-INF-002.

Solution

Appliquer le correctif de Microsoft :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25532

Documentation

Le bulletin de Sécurité Microsoft et sa FAQ :

http://www.microsoft.com/technet/security/bulletin/ms00-085.asp

http://www.microsoft.com/technet/security/bulletin/fq00-085.asp

Gestion détaillée du document

    le 03 novembre 2000
    version initiale.