S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 28 mars 2001
N° CERTA-2001-AVI-038
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Microsoft Visual Studio 6.0

Gestion du document

Référence CERTA-2001-AVI-038
Titre Vulnérabilité dans Microsoft Visual Studio 6.0
Date de la première version28 mars 2001
Date de la dernière version28 mars 2001
Source(s) Bulletin Microsoft (MS01-18)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire

Systèmes affectés

Microsoft Visual Studio 6.0 Entreprise Edition.

Résumé

Une vulnérabilité de Microsoft Visual Studio 6 permet à un utilisateur mal intentionné d'exécuter à distance du code arbitraire ou d'entraîner un déni de service.

Description

Un débogueur d'objets (vbsdicli.exe) est mis en place par défaut lors de l'installation de Visual Studio 6. Il est exploitable depuis une machine distante. Un débordement de mémoire tampon permet à un utilisateur distant d'exécuter du code arbitraire sur la machine cible ou entraîner un déni de service en bloquant cette machine.

Contournement provisoire

Bloquer les ports (TCP et UDP) 137 à 139 et 445 sur le garde barrière afin d'éviter toute attaque provenant de l'extérieur du réseau.

Solution

Télécharger le correctif sur le site Microsoft :

http://msdn.microsoft.com/vstudio/downloads/debugging/default.asp

Documentation

Gestion détaillée du document

    le 28 mars 2001
    version initiale.