S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 octobre 2003
N° CERTA-2003-AVI-167
Affaire suivie par: CERT-FR
le 16 octobre 2003

Avis du CERT-FR

Objet: Vulnérabilité dans l’aide à la résolution de problèmes sous windows 2000

Gestion du document

Référence CERTA-2003-AVI-167
Titre Vulnérabilité dans l’aide à la résolution de problèmes sous windows 2000
Date de la première version 16 octobre 2003
Date de la dernière version 16 octobre 2003
Source(s) Bulletin de sécurité Microsoft MS03-042
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire avec les privilèges de l'utilisateur.

Systèmes affectés

  • Windows 2000 SP2 ;
  • Windows 2000 SP3 ;
  • Windows 2000 SP4.

Résumé

Une vulnérabilité présente dans l'aide à la résolution de problèmes permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le sytème.

Description

L'aide à la résolution de problèmes, dans l'aide de Windows 2000, est réalisée par un contrôle ActiveX qui se nomme Tshoot.ocx.

Une vulnérabilité dans ce contrôle ActiveX permet à un utilisateur mal intentionné, via une page au format html malicieusement construite envoyée par mail ou hébergée sur un site web, d'exécuter du code arbritraire avec les privilèges de l'utilisateur visualisant ces pages.

Solution

Appliquer le correctif correspondant à votre version (cf. section documentation).

Documentation

Gestion détaillée du document

    le 16 octobre 2003
    version initiale.