Risque
- Exécution de code arbitraire
Systèmes affectés
- Microsoft FrontPage 2000 ;
- Microsoft FrontPage 2002 ;
- Microsoft Office 2000 ;
- Microsoft Office 97 ;
- Microsoft Office XP ;
- Microsoft Publisher 2000 ;
- Microsoft Publisher 2002 ;
- Microsoft Word 98 (J) ;
- Microsoft Works Suite 2001 ;
- Microsoft Works Suite 2002 ;
- Microsoft Works Suite 2003.
Résumé
Un utilisateur mal intentionné peut exploiter une vulnérabilité du convertisseur WordPerfect pour exécuter du code arbitraire.
Description
Microsoft Office fournit des convertisseurs pour pouvoir relire des documents qui utilisent des formats qui sont pas nativement reconnus par Office. Ces convertisseurs sont installés par défaut dans Microsoft Office ou sont disponibles séparement dans le pack Microsoft Office Converter Pack.
Parce qu'il ne traite pas correctement certains paramètres lors de l'ouverture d'un document WordPerfect, le convertisseur Microsoft WordPerfect présente une vulnérabilité de type débordement de mémoire.
Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné par le biais d'un document WordPerfect habilement constitué qui exécutera du code arbitraire sur la machine où il sera ouvert.
Solution
Appliquer le correctif proposé par Microsoft (cf. section Documentation).
Documentation
- Avis de sécurité Microsft MS03-036 : http://www.microsoft.com/technet/security/bulletin/MS03-036.asp