Vulnérabilité dans l'aide HTML de Windows

Gestion du document

Référence	CERTA-2005-AVI-212
Titre	Vulnérabilité dans l'aide HTML de Windows
Date de la première version	15 juin 2005
Date de la dernière version	17 juin 2005
Source(s)	Bulletin de sécurité Microsoft MS05-026
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risques

Déni de service
Exécution de code arbitraire

Systèmes affectés

Microsoft Windows 2000 SP3 et SP4 ;
Microsoft Windows 98 ;
Microsoft Windows 98 seconde édition ;
Microsoft Windows Millenium édition (ME).
Microsoft Windows Server 2003 (itanium) ;
Microsoft Windows Server 2003 ;
Microsoft Windows Server 2003 SP1 (itanium) ;
Microsoft Windows Server 2003 SP1 ;
Microsoft Windows XP Professional édition 64 bits ;
Microsoft Windows XP SP1 et SP2 ;
Microsoft Windows XP édition 64-Bits SP1 (itanium) ;
Microsoft Windows XP édition 64-Bits version 2003 (itanium) ;

Résumé

Une vulnérabilité présente dans le HTML Help de Windows peut être exploitée par un utilisateur mal intentionné pour réaliser un déni de service ou exécuter du code arbitraire sur le système vulnérable.

Description

Une vulnérabilité est présente dans le HTML Help de Windows. Cette vulnérabilité peut être exploitée via une page au format HTML malicieusement construite permettant à un utilisateur mal intentionné d'exécuter du code sur la machine avec les privilèges de l'utilisateur ayant ouvert la session.

Contournement provisoire

Dans l'attente d'appliquer le correctif il est possible de désactiver le protocole HTML Help InfoTech (cf. bulletin de sécurité de l'éditeur, section documentation)

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Microsoft MS05-026

http://www.microsoft.com/france/technet/securite/ms05-026.mspx

Avis du CERT-FR

Objet: Vulnérabilité dans l'aide HTML de Windows