S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 juillet 2004
N° CERTA-2004-AVI-241
Affaire suivie par: CERT-FR
le 15 juillet 2004

Avis du CERT-FR

Objet: Vulnérabilités dans les fichiers d’aide HTML de Microsoft

Gestion du document

Référence CERTA-2004-AVI-241
Titre Vulnérabilités dans les fichiers d’aide HTML de Microsoft
Date de la première version 15 juillet 2004
Date de la dernière version 15 juillet 2004
Source(s) Bulletin de sécurité Microsoft MS04-023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • Exécution de code arbitraire à distance.

Systèmes affectés

  • Microsoft Windows 2000 Service Pack 2, Service Pack 3 et Service Pack 4 ;
  • Microsoft Windows XP et XP Service Pack 1 ;
  • Microsoft Windows XP 64-Bit Edition Service Pack 1 ;
  • Microsoft Windows XP 64-Bit Edition Version 2003 ;
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows Server 2003 64-Bit Edition ;
  • Microsoft Windows 98 et 98 SE ;
  • Microsoft Windows Millennium Edition ;
  • Internet Explorer 6.0 Service Pack 1 installé sur Windows NT 4.0 SP6a.

Résumé

Deux vulnérabilités présentes dans les fonctions d'aide de Windows permettent à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine vulnérable.

Description

Deux vulnérabilités permettent à un utilisateur distant mal intentionné, par le biais d'une adresse réticulaire (URL) d'aide malicieusement constuite, d'exécuter du code arbitraire sur la machine cible. Si l'utilisateur est connecté en tant qu'administrateur, il est possible pour l'attaquant d'avoir les mêmes droits.

Solution

Se référer au bulletin de sécurité Microsoft pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 juillet 2004
    version initiale.