Risque
- Execution de code arbitraire ;
- élévation de privilèges.
Systèmes affectés
- Microsoft Windows 2000 Server ;
- Microsoft Windows 2000 Advanced Server ;
- Microsoft Windows 2000 Datacenter Server ;
- Microsoft Windows 2000 Professional ;
- Microsoft Windows 98 ;
- Microsoft Windows 98 seconde édition ;
- Microsoft Windows Millenium ;
- Microsoft Windows Server 2003 édition Datacenter ;
- Microsoft Windows Server 2003 édition entreprise ;
- Microsoft Windows Server 2003 édition standard ;
- Microsoft Windows Server 2003 édition web ;
Résumé
Deux vulnérabilités sont présentes dans le traitement des objets OLE et COM. Ces deux vulnérabilités peuvent être exploitées par un utilisateur local mal intentionné pour exécuter du code arbitraire avec des privilèges élevés.
Description
Deux vulnérabilités sont présentes dans le traitement de certains objets sur Microsoft Windows :
- La première vulnérabilité est présente dans le traitement des objets OLE. Un utilisateur mal intentionné peut, par le biais d'un logiciel utilisant les objets OLE, exploiter la vulnérabilité en envoyant un objet OLE malicieusement construit.
- La seonde vulnérabilité est présente dans le traitement des structures de données COM. Un utilisateur local mal intentionné peut exécuter du code arbitaire avec des accès privilègiés en exploitant cette vulnérabilité
Un grand nombre de logiciels sont également touchés par ces vulnérabilités car ils utilisent les objets COM du système d'exploitation.
Solution
Se référer aux bulletins de sécurité des éditeurs (cf. section Documentation) pour l'obtention des correctifs.
Documentation
- Bulletin de sécurité Microsoft MS05-012 du 8 février 2005 :
http://www.microsoft.com/technet/security/bulletin/ms05-012.mspx
- Référence CVE CAN-2005-0047 :
https://www.cve.org/CVERecord?id=CAN-2005-0047
- Référence CVE CAN-2005-0044 :
https://www.cve.org/CVERecord?id=CAN-2005-0044
