Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Windows, toutes versions, toutes éditions.

Résumé

Deux vulnérabilités affectent le composant Secure Channel de Windows, qui implémente notamment les protocoles TLS et SSL. Leur exploitation permet de contourner la politique de sécurité ou d'exécuter du code arbitraire à distance.

Description

Deux vulnérabilités affectent le composant Secure Channel de Windows :

  • (CVE-2009-3555) un problème réside dans les implantation des protocoles TLS et SSL lors de renégociations de sessions. Un utilisateur interposé dans une connexion (man in the middle) peut, dans certaines circonstances, injecter des données à l'encontre d'un utilisateur et contourner la politique de sécurité ;
  • (CVE-2010-2566) une erreur de traitement des certificats de clef publique par Secure Channel sur Windows XP SP3 et Windows Server 2003 (toutes éditions) permet à un utilisateur distant malintentionné d'exécuter du code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation