Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows Server 2003 ;
- Microsoft Windows Server 2003 pour Itanium ;
- Microsoft Windows Server 2003 pour Itanium Service Pack 1 ;
- Microsoft Windows Server 2003 Service Pack 1 ;
- Microsoft Windows Server 2003 édition x64.
- Microsoft Windows XP Service Pack 1 et 2 ;
- Microsoft Windows XP édition x64 ;
Résumé
Deux vulnérabilités présentes dans la bibliothèque de fonctions hlink.dll de Microsoft Windows permettent à un utilisateur distant mal intentionné d'éxecuter du code arbitraire.
Description
La bibliothèque de fonctions hlink.dll de Microsoft Windows permet la mise en œuvre de liens hypertexte dans différentes applications comme Outlook ou celles de la suite Office . Deux vulnérabilités présentes dans des fonctions de cette bibliothèque permettent à un utilisateur mal intentionné d'exécuter du code arbitraire par le biais d'un objet de type « lien hypertexte » construit de façon particulière. Cet objet peut être véhiculé via un message électronique ou bien via un document Office comme une feuille de calculs Excel par exemple.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-050 du 08 août 2006 http://www.microsoft.com/technet/security/Bulletin/MS06-050.mspx
- Référence CVE CVE-2006-3086 https://www.cve.org/CVERecord?id=CVE-2006-3086
- Référence CVE CVE-2006-3438 https://www.cve.org/CVERecord?id=CVE-2006-3438