Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows Server 2003 (Service Pack 1, Edition x64, Itanium).
  • Microsoft Windows XP Professionnel Edition x64 ;
  • Microsoft Windows XP Service Pack 1 et Service Pack 2 ;

Description

Une vulnérabilité a été identifiée dans l'explorateur de Microsoft Windows, quand celui-ci manipule des données issues du contrôle ActiveX WebViewFolderIcon, servant à l'affichage en mode Web.

Une personne malveillante pourrait construire une page Web particulière, et inciter un utilisateur à la visiter, que ce soit par son navigateur Internet Explorer, ou sous le format d'un courrier électronique en HTML. Il aurait alors le moyen d'exécuter des commandes arbitraires à distance sur le système vulnérable de l'utilisateur.

Le CERTA rappelle à cet égard qu'il est fortement recommandé de désactiver l'ActiveX par défaut sur une machine.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation