Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Windows Server 2003 et Microsoft Windows 2003 pour Itanium;
  • Microsoft Windows Server 2003 Service Pack 1 et Microsoft Windows 2003 pour Itanium Service Pack 1;
  • Microsoft Windows Server 2003 x64.
  • Microsoft Windows XP Professional x64 Edition ;
  • Microsoft Windows XP Service Pack 1 ;
  • Microsoft Windows XP Service Pack 2 ;

Résumé

Une vulnérabilité permettant d'exécuter du code arbitraire à distance a été découverte dans la bibliothèque Windows de gestion des images vectorielles (vgx.dll).

Description

Une vulnérabilité a été découverte dans la bibliothèque de gestion des documents au format VML (Vector Markup Language). Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné afin d'exécuter du code arbitraire sur une machine distante vulnérable par l'intermédiaire d'un document VML spécialement construit.

Cette vulnérabilité a fait l'objet d'une alerte par le CERTA le 31 août 2006 (cf. CERTA-2006-ALE-011).

Des codes d'exploitation, utilisés dans certains cas dans des logiciels malveillants, circulent actuellement sur l'Internet.

Contournement provisoire

Se référer à l'alerte du CERTA référencé sous le numéro CERTA-2006-ALE-011

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation