Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft XML Core Services 4.0 (pour toutes les versions de Windows) ;
- Microsoft XML Core Services 6.0 (pour toutes les versions de Windows).
Résumé
Une vulnérabilité a été identifiée dans Microsoft XML Core Services (MSXML). Il s'agit plus précisément du contrôle ActiveX XMLHTTP.
Une personne malveillante pourrait exploiter cette vulnérabilité, afin de prendre le contrôle, à distance ou localement, de la machine fonctionnant sur un système vulnérable. Un scénario d'attaque possible serait une page Web construite de manière particulière : la visite de cette dernière par un navigateur autorisant les contrôles ActiveX, permettrait l'exécution de code sur le système.
Même si MSXML n'est pas distribué par défaut avec Windows, il est installé avec plusieurs logiciels.
Description
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS06-071 du 14 novembre 2006 http://www.microsoft.com/technet/security/Bulletin/MS06-071.mspx
- Avis de sécurité Microsoft 927892 du 03 novembre 2006 : http://www.microsoft.com/technet/security/advisory/927892.mspx
- Référence CVE CVE-2006-5745 https://www.cve.org/CVERecord?id=CVE-2006-5745
