Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Windows 2000 Service Pack 4 ;
- Microsoft Windows Serveur 2003, versions x86 et Itanium.
- Microsoft Windows XP Service Pack 2 ;
Résumé
Une vulnérabilité, permettant l'exécution de code arbitraire à distance, existe dans 2 composants ActiveX, Microsoft Data Access Components et Microsoft HTML Help, de Microsoft Windows.
Description
Microsoft HTML Help (hhcrtl.ocx) est un composant ActiveX permettant l'affichage des fichiers d'aide au format HTML. Une personne malveillante peut exploiter la vulnérabilité présente dans ce composant ActiveX afin d'exécuter du code arbitraire à distance par le biais d'une page web au format HTML spécialement conçue.
Microsoft Data Access Components (MDAC) est un regroupement de technologies Microsoft facilitant l'accès aux données. Une vulnérabilité présente dans le contrôle ActiveX ADODB.Connection permet à une personne malveillante d'exécuter du code arbitraire à distance par le biais d'un appel spécialement conçu d'une méthode de ce contrôle ActiveX.
Solution
Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-008 du 13 février 2007 : http://www.microsoft.com/technet/security/Bulletin/MS07-008.mspx
- Bulletin de sécurité Microsoft MS07-008 du 13 février 2007 : http://www.microsoft.com/france/technet/security/bulletin/MS07-008.mspx
- Bulletin de sécurité Microsoft MS07-009 du 13 février 2007 : http://www.microsoft.com/technet/security/Bulletin/MS07-009.mspx
- Bulletin de sécurité Microsoft MS07-009 du 13 février 2007 : http://www.microsoft.com/france/technet/security/bulletin/MS07-009.mspx
- Référence CVE CVE-2006-5559 https://www.cve.org/CVERecord?id=CVE-2006-5559
- Référence CVE CVE-2007-0214 https://www.cve.org/CVERecord?id=CVE-2007-0214