S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 octobre 2002
N° CERTA-2002-AVI-233
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans le système d'aide de Windows XP

Gestion du document

Référence CERTA-2002-AVI-233
Titre Vulnérabilité dans le système d'aide de Windows XP
Date de la première version 17 octobre 2002
Date de la dernière version 17 octobre 2002
Source(s) Bulletin Microsoft MS02-060
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Suppression de données

Systèmes affectés

Microsoft Windows XP.

Résumé

Un concepteur de site WEB peut, par le biais de pages HTML judicieusement composées, forcer le système d'aide de Windows XP à supprimer des fichiers sur la machine cible.

Description

Microsoft Windows XP possède un utilitaire permettant de consulter l'aide en ligne, la compatibilité du matériel ainsi que l'accès à la mise à jour du système.

Lorsqu'un utilisateur demande un renseignement sur un produit compatible Microsoft, l'utilitaire télécharge le fichier XML relatif à ce produit et le supprime du disque après son exploitation.

Une vulnérabilité permet, lors de la consultation d'une page HTML ou d'un mél judicieusement composé, de faire appel à cette fonction et de pouvoir ainsi supprimer n'importe quel type de fichiers dans l'arborescence du disque.

Nota :

Le service Pack 1 de Windows XP n'est pas vulnérable.

Solution

Appliquer le correctif disponible sur le site Microsoft (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 17 octobre 2002
    version initiale.