S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 16 octobre 2003
N° CERTA-2003-AVI-166
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans la vérification Authenticode

Gestion du document

Référence CERTA-2003-AVI-166
Titre Vulnérabilité dans la vérification Authenticode
Date de la première version16 octobre 2003
Date de la dernière version16 octobre 2003
Source(s) Avis MS03-041 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Les systèmes suivants sont vulnérables :

  • Windows NT Workstation 4.0, Server 4.0, Server 4.0 Terminal Server Edition ;
  • Windows 2000 ;
  • Windows XP Gold, 64-bit Edition, 64-bit Edition Version 2003 ;
  • Windows Server 2003, Server 2003 64-bit Edition.

Microsoft Windows Millenium Edition n'est pas affecté par cette vulnérabilité.

Résumé

Une vulnérabilité dans la vérification Authenticode permet, sous certaines conditions, l'exécution de code arbitraire à distance.

Description

Authenticode est une technologie permettant de vérifier l'intégrité d'un contrôle ActiveX. L'installation d'un contrôle ActiveX nécessite la confirmation par l'utilisateur de la machine, au travers d'une boîte de dialogue ouverte par Authenticode.

Une vulnérabilité d'Authenticode permet, sous certaines conditions, le téléchargement et l'installation de contrôles ActiveX sans l'ouverture de la boîte de dialogue de confirmation.

Solution

Appliquer le correctif indiqué à l'adresse suivante :

http://www.microsoft.com/technet/security/bulletin/MS03-041.asp

Documentation

Gestion détaillée du document

    le 16 octobre 2003
    version initiale.