Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 Service Pack 4 ;
  • Internet Explorer 6 Service Pack 1 sur Microsoft Windows 2000 Service Pack 4 ou sur Microsoft Windows XP Service Pack 1 ;
  • Internet Explorer 6 pour Microsoft Windows XP Service Pack 2 ;
  • Internet Explorer 6 pour Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1 ;
  • Internet Explorer 6 pour Microsoft Windows Server 2003 pour Systèmes Itanium et Microsoft Windows Server 2003 Service Pack 1 pour Systèmes Itanium ;
  • Internet Explorer 6 pour Microsoft Windows Server 2003 Edition x64 ;
  • Internet Explorer 6 pour Microsoft Windows XP Professional Edition x64 ;
  • Internet Explorer 5.5 Service Pack 2 pour Microsoft Windows Millennium Edition.

Résumé

Une vulnérabilité dans Microsoft Internet Explorer permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.

Description

Il est possible, via Internet Explorer, d'appeler des objets DCOM (Distributed Component Object Model) fournis par la bibliothèque msdds.dll (Microsoft DDS Library Shape Control). Une vulnérabilité dans cette bibliothèque (cf. CERTA-2005-ALE-008) permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance par le biais d'un site web malicieusement construit.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention de correctifs (cf. Documentation).

Documentation