Vulnérabilité dans le composant ActiveX <TT>HTML Help</TT>

Gestion du document

Référence	CERTA-2005-AVI-010
Titre	Vulnérabilité dans le composant ActiveX <TT>HTML Help</TT>
Date de la première version	12 janvier 2005
Date de la dernière version	12 janvier 2005
Source(s)	Bulletin de sécurité Microsoft MS05-001
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Atteinte à la confidentialité des données
Exécution de code arbitraire

Systèmes affectés

Systèmes d'exploitation affectés par la vulnérabilité :

Microsoft Windows 2000 Service Pack 3 & 4 ;
Microsoft Windows XP Service Pack 1 & 2 ;
Microsoft Windows XP 64-bit Edition Service Pack 1 ;
Microsoft Windows XP 64-bit version 2003 ;
Microsoft Windows Server 2003 ;
Microsoft Windows Server 2003 XP 64-bit Edition.

Systèmes également affectés par la vulnérabilité :

Microsoft Internet Explorer 6.0 Service Pack 1 sous :
- Microsoft Windows NT Server 4.0 Service Pack 6a ;
- Microsoft Windows NT Server 4.0 Terminal Service Edition Service Pack 6.

Résumé

Une vulnérabilité découverte dans le composant ActiveX HTML Help permet à un utilisateur mal intentionné d'exécuter à distance du code arbitraire avec les privilèges de la victime.

Description

Le composant ActiveX HTML Help présente une vulnérabilité dans la gestion des zones de contenus Web. Cette vulnérabilité permet à une personne malveillante de porter atteinte à la confidentialité des données et/ou d'exécuter à distance du code arbitraire avec les privilèges de la victimes, grâce à un site web malicieusement constitué.

Solution

Se réferer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).

Documentation

Bulletin de sécurité Microsoft MS05-001

http://www.microsoft.com/technet/security/bulletin/MS05-001.mspx

Avis du CERT-FR

Objet: Vulnérabilité dans le composant ActiveX <TT>HTML Help</TT>