Risque
- Contournement de la politique de sécurité ;
- exécution de code arbitraire ;
- élévation de privilèges.
Systèmes affectés
- Microsoft Virtual PC 2004 ;
- Microsoft Virtual PC 2004 Service Pack 1 ;
- Microsoft Virtual Server 2005 Standard Edition ;
- Microsoft Virtual Server 2005 Enterprise Edition ;
- Microsoft Virtual Server 2005 R2 Standard Edition ;
- Microsoft Virtual Server 2005 R2 Enterprise Edition ;
- Microsoft Virtual PC pour Mac version 6.1 ;
- Microsoft Virtual PC pour Mac version 7.
Les versions Microsoft Virtual PC 2007 et Microsoft Virtual Server 2005 R2 Service Pack 1 ne seraient pas affectées.
Résumé
Une vulnérabilité a été identifiée dans Microsoft Virtual PC et Microsoft Virtual Server. Cette dernière peut être exploitée par un utilisateur ayant accès à une machine virtuelle particulière pour exécuter du code sur le système d'accueil (hôte) ou sur d'autres machines virtuelles.
Description
Une vulnérabilité de type débordement de tas a été identifiée dans Microsoft Virtual PC et Microsoft Virtual Server. Cette dernière peut être exploitée par un utilisateur doté des droits administrateur sur le système d'exploitation invité afin d'exécuter du code sur le système d'exploitation hôte ou sur d'autres systèmes invité.
Solution
Se référer au bulletin de sécurité MS07-049 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-049 du 14 août 2007 :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-049.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-049.mspx
- Référence CVE CVE-2007-0948 :
https://www.cve.org/CVERecord?id=CVE-2007-0948
