Risque
- Exécution de code arbitraire ;
- atteinte à la confidentialité des données.
Systèmes affectés
Systèmes d'exploitation affectés par la vulnérabilité :
- Microsoft Windows 2000 Service Pack 3 & 4 ;
- Microsoft Windows XP Service Pack 1 & 2 ;
- Microsoft Windows XP 64-bit Edition Service Pack 1 ;
- Microsoft Windows XP 64-bit version 2003 ;
- Microsoft Windows Server 2003 ;
- Microsoft Windows Server 2003 XP 64-bit Edition.
Systèmes également affectés par la vulnérabilité :
- Microsoft Internet Explorer 6.0 Service Pack 1 sous :
- Microsoft Windows NT Server 4.0 Service Pack 6a ;
- Microsoft Windows NT Server 4.0 Terminal Service Edition Service Pack 6.
Résumé
Une vulnérabilité découverte dans le composant ActiveX HTML Help permet à un utilisateur mal intentionné d'exécuter à distance du code arbitraire avec les privilèges de la victime.
Description
Le composant ActiveX HTML Help présente une vulnérabilité dans la gestion des zones de contenus Web. Cette vulnérabilité permet à une personne malveillante de porter atteinte à la confidentialité des données et/ou d'exécuter à distance du code arbitraire avec les privilèges de la victimes, grâce à un site web malicieusement constitué.
Solution
Se réferer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. Documentation).
Documentation
- Bulletin de sécurité Microsoft MS05-001 du 11 janvier 2005 :
http://www.microsoft.com/technet/security/bulletin/MS05-001.mspx
- Référence CVE CAN-2004-1043 :
https://www.cve.org/CVERecord?id=CAN-2004-1043