Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Lync 2010
- Microsoft Lync 2010 Attendee
- Microsoft Lync 2013
- Microsoft Lync Basic 2013
- Microsoft Office 2003
- Microsoft Office 2007
- Microsoft Office 2010
- Microsoft Office Compatibility Pack
- Microsoft Windows Server 2008
- Microsoft Windows Vista
Résumé
Une vulnérabilité a été découverte dans un composant graphique de Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance au moyen d'un fichier embarquant une image au format TIFF spécialement conçue. Ce fichier peut être intégré dans un document Microsoft Office, une page Web ou un message electronique.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft 2896666 du 05 novembre 2013 http://technet.microsoft.com/en-us/security/advisory/2896666
- Article blog Microsoft Security Research and Defense CVE-2013-3906 http://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx
- Bulletin de sécurité Microsoft MS13-096 du 10 décembre 2013 https://technet.microsoft.com/en-us/security/bulletin/ms13-096
- EMET 4.0 http://www.microsoft.com/en-us/download/details.aspx?id=39273
- Référence CVE CVE-2013-3906 https://www.cve.org/CVERecord?id=CVE-2013-3906
