Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Internet Explorer 5.01 Service Pack 4 pour Microsoft Windows 2000 Service Pack 4 ;
  • Internet Explorer 6 Service Pack 1 pour Microsoft Windows 2000 Service Pack 4 ;
  • Internet Explorer 7 pour Microsoft Windows XP Service Pack 2 ;
  • Internet Explorer 7 pour Microsoft Windows XP Professionnel Edition x64 ;
  • Internet Explorer 7 pour Microsoft Windows Server 2003 et Server 2003 Service Pack 1 ;
  • Internet Explorer 7 pour Microsoft Windows Server 2003 (Itanium) ;
  • Internet Explorer 7 pour Microsoft Windows Server 2003 Edition x64.

Description

Une vulnérabilité a été identifiée dans la bibliothèque de gestion des documents au format VML (pour Vector Markup Language).

VML est un composant XML qui définit les caractéristiques d'images vectorielles. Il est mis en œuvre dans la bibliothèque vgx.dll de Microsoft Windows. La vulnérabilité concerne une mauvaise vérification du résultat de la multiplication de deux entiers, pouvant provoquer une saturation de mémoire tampon.

Cette vulnérabilité peut être exploitée par un utilisateur malintentionné afin d'exécuter du code arbitraire à distance sur une machine vulnérable par l'intermédiaire d'un document VML spécialement construit. Il peut par exemple insérer dans une page Web ou un courrier électronique au format HTML un tel document malveillant.

Cette mise à jour remplace le bulletin de sécurité MS06-055 du 26 septembre 2006.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation