{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>A la date de r\u00e9daction de ce bulletin d'alerte, la liste des  syst\u00e8mes affect\u00e9es peut encore \u00e9voluer.</P>  <UL>    <LI>Microsoft Windows 2000 Service Pack 4 ;</LI>    <LI>Microsoft Windows XP Service Pack 2 ;</LI>    <LI>Microsoft Windows XP 64-bit Edition Version 2003 (Itanium)    ;</LI>    <LI>Microsoft Windows XP Professional x64 Edition ;</LI>    <LI>Microsoft Windows Server 2003 ;</LI>    <LI>Microsoft Windows Server 2003 pour syst\u00e8mes Itanium (avec    SP1 et SP2) ;</LI>    <LI>Microsoft Windows Server 2003 Service Pack 1 et Service    Pack 2 ;</LI>    <LI>Microsoft Windows Server 2003 x64 Edition ;</LI>    <LI>Microsoft Windows Server 2003 x64 Edition Service Pack 2    ;</LI>    <LI>Microsoft Windows Vista.</LI>  </UL>","closed_at":"2007-04-03","content":"## Description\n\nCette vuln\u00e9rabilit\u00e9 permettrait \u00e0 un utilisateur distant malintentionn\u00e9\nd'ex\u00e9cuter du code arbitraire au moyen d'un fichier de donn\u00e9es anim\u00e9es\n(ic\u00f4ne ou curseur) (.ani) sp\u00e9cialement construit. L'exploitation de\ncette vuln\u00e9rabilit\u00e9 ne n\u00e9cessite aucune interaction de la part de\nl'utilisateur, dans la mesure o\u00f9 Internet Explorer interpr\u00e8te ce type de\nfichiers sans action particuli\u00e8re. L'infection peut \u00e9galement avoir lieu\npar ouverture de courrier via Outlook ou par t\u00e9l\u00e9chargement d'un tel\nfichier ANI (transferts par USB par exemple). Cette vuln\u00e9rabilit\u00e9 ne\nconcerne pas directement Outlook et Internet Explorer, mais la\nbiblioth\u00e8que de fonctions user32.dll de Microsoft Windows.\n\nCette vuln\u00e9rabilit\u00e9 est massivement exploit\u00e9e sur l'Internet et\nMicrosoft a publi\u00e9 l'avis de s\u00e9curit\u00e9 935423 \u00e0 ce sujet.\n\n03 avril 2007 :\n\nLe CERTA a publi\u00e9 l'avis CERTA-2007-AVI-156, suite \u00e0 la publication du\nbulletin de s\u00e9curit\u00e9 MS07-017 par Microsoft.\n\n## Contournement provisoire\n\n-   Filtrer les fichiers (ic\u00f4ne ou curseur) (.ani) au niveau des\n    serveurs mandataires ou locaux ;\n-   utiliser un navigateur Internet alternatif \u00e0 Microsoft Internet\n    Explorer ;\n-   configurer les clients de messagerie de mani\u00e8re \u00e0 afficher les\n    messages \u00e9lectroniques en texte brut. Cette solution est cependant\n    imparfaite.\n\n## Solution\n\nAppliquer le correctif annonc\u00e9 par Microsoft dans le bulletin de\ns\u00e9curit\u00e9 MS07-017 du 03 avril 2007.\n","cves":[{"name":"CVE-2007-0038","url":"https://www.cve.org/CVERecord?id=CVE-2007-0038"}],"links":[{"title":"Article concernant le premier ver exploitant la    vuln\u00e9rabilit\u00e9 de cet avis, ISC SANS :","url":"http://isc.sans.org/diary.html?storyid=2550"},{"title":"Avis de s\u00e9curit\u00e9 Microsoft 935423 du 29 mars 2007 :","url":"http://microsoft.com/technet/security/advisory/935423.mspx"},{"title":"Avis CERTA CERTA-2005-AVI-011 du 12 janvier 2005 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-011/index.html"},{"title":"Description du code malveillant    ``Exploit-ANIfile.c'' d\u00e9tect\u00e9 par McAfee :","url":"http://vil.nai.com/vil/content/v_141860.htm"},{"title":"Avis CERTA-2007-AVI-156 du 03 avril 2007 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-156/"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :","url":"http://www.microsoft.com/france/technet/security/Bulletin/MS07-017.mspx"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS07-017 du 03 avril 2007 :","url":"http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx"},{"title":"Annonce de s\u00e9curit\u00e9 sur le Web Log McAfee du 28 mars 2007 :","url":"http://www.avertlabs.com/research/blog/?p=230"},{"title":"Description du code malveillant    ''TROJ_ANICMOO.AX'' d\u00e9tect\u00e9 par Trend Micro :","url":"http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_ANICMOO.AX"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS05-002 du 11 janvier 2005    :","url":"http://www.microsoft.com/technet/security/bulletin/MS05-002.mspx"}],"reference":"CERTA-2007-ALE-008","revisions":[{"description":"version initiale.","revision_date":"2007-03-29T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence CVE.","revision_date":"2007-03-30T00:00:00.000000"},{"description":"ajout de r\u00e9f\u00e9rences concernant l'exploitation massive de la vuln\u00e9rabilit\u00e9.","revision_date":"2007-04-02T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Microsoft MS07-017.","revision_date":"2007-04-03T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 non corrig\u00e9e pr\u00e9sente dans Microsoft Windows ferait\nactuellement l'objet d'une exploitation \u00e0 distance \u00e0 l'aide d'un code\nmalveillant , nomm\u00e9 par certains antivirus Exploit-ANIfile.c ou\nTROJ_ANICMOO.AX. Cette vuln\u00e9rabilit\u00e9 serait li\u00e9e \u00e0 celle corrig\u00e9e par\nMicrosoft dans le bulletin de s\u00e9curit\u00e9 MS05-002 du 11 janvier 2005 et\nd\u00e9taill\u00e9e dans CERTA-2005-AVI-011.\n","title":"Vuln\u00e9rabilit\u00e9 dans Mirosoft Windows","vendor_advisories":[{"published_at":null,"title":"Annonce de s\u00e9curit\u00e9 sur le bloc-notes McAfee du 28 mars 2007","url":null}]}