S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 octobre 2004
N° CERTA-2004-AVI-338
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité des répertoires compressés sous Windows

Gestion du document

Référence CERTA-2004-AVI-338
Titre Vulnérabilité des répertoires compressés sous Windows
Date de la première version13 octobre 2004
Date de la dernière version13 octobre 2004
Source(s) Bulletin de sécurité Microsoft MS04-034 du 12 octobre 2004
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Windows Server 2003 64-Bit Edition.
  • Microsoft Windows Server 2003 ;
  • Microsoft Windows XP 64-Bit Edition Service Pack 1 ;
  • Microsoft Windows XP 64-Bit Edition version 2003 ;
  • Microsoft Windows XP ;
  • Microsoft Windows XP Service Pack 1 ;

Résumé

Une vulnérabilité dans la gestion des répertoires compressés permet à un utilisateur mal intentionné de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

Description

Un débordement de pile est présent dans la bibliothèque zipfldr.dll permettant la manipulation des répertoires compressés.
Un utilisateur mal intentionné peut, via l'utilisation d'un répertoire compressé contenant un fichier habilement constitué, réaliser un déni de service ou exécuter du code arbitraire sur la plate-forme vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 octobre 2004
    version initiale.