S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 décembre 2002
N° CERTA-2002-AVI-273
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du langage de commande Windows XP

Gestion du document

Référence CERTA-2002-AVI-273
Titre Vulnérabilité du langage de commande Windows XP
Date de la première version19 décembre 2002
Date de la dernière version19 décembre 2002
Source(s) Avis Foundstone Research Labs
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

Microsoft Windows XP.

Résumé

Une vulnérabilité dans une fonction d'extraction d'attributs de fichier audio permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

Description

Un débordement de tampon a été découvert dans l'une des fonctions d'extraction d'attributs de fichier audio (extensions ".mp3" et ".wma"). Un utilisateur mal intentionné peut créer habilement un fichier audio et le placer sur une page internet, dans un dossier partagé, ou l'envoyer dans un courrier électronique au format HTML. Lors du simple passage de la souris au dessus de ce fichier, la fonction vulnérable du langage de commande Windows XP est appelée, et le code malicieux exécuté.
Note: Cette vulnérabilité concerne le langage de commande de Windows XP et non le lecteur Windows Media Player.

Solution

Consulter le bulletin MS02-072 de Microsoft pour connaître la disponibilité des correctifs.

Documentation

Gestion détaillée du document

    le 19 décembre 2002
    version initiale.