Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft XML Core Services version 5.0 pour toutes les éditions maintenues de Microsoft Office 2003 et Microsoft Office 2007.
- Microsoft XML Core Services versions 3.0, 4.0 et 6.0 pour toutes les versions maintenues de Microsoft Windows ;
Résumé
Une vulnérabilité a été découverte dans Microsoft XML Core Services. Son exploitation permet l'exécution de code arbitraire à distance si un utilisateur visite une page Web spécialement conçue.
Selon Microsoft, cette vulnérabilité est activement exploitée, il est donc important d'appliquer le correctif de sécurité.
Solution
Appliquer le correctif de Microsoft MS12-043 (cf. section Documentation). La mise à jour corrige les versions 3.0, 4.0, 6.0 et, depuis le 14 août 2012, la version 5.0 de XML Core.
Documentation
- Avis de sécurité Microsoft 2719615 du 12 juin 2012 http://technet.microsoft.com/en-us/security/advisory/2719615
- Article de bloc-notes (blog) de Microsoft du 10 juillet 2012 : http://blogs.technet.com/b/srd/archive/2012/07/10/msxml-5-steps-to-stay-protected.aspx
- Bulletin de sécurité Microsoft MS12-043 du 10 juillet 2012 : http://technet.microsoft.com/fr-fr/security/bulletin/MS12-043
- Bulletin de sécurité Microsoft MS12-043 du 10 juillet 2012 : http://technet.microsoft.com/en-us/security/bulletin/MS12-043
- Référence CVE CVE-2012-1889 https://www.cve.org/CVERecord?id=CVE-2012-1889
