Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Windows Vista ;
- Microsoft Windows Vista Édition x64.
Résumé
Des vulnérabilités ont été identifiées dans les gadgets fournis avec Microsoft Windows Vista. L'exploitation de ces dernières permettrait d'exécuter du code arbitraire à distance sur le système vulnérable.
Description
Des vulnérabilités ont été identifiées dans les gadgets fournis avec Microsoft Windows Vista. Les gadgets sont des applications, ou codes. Ils peuvent se présenter sous forme de contenu HTML qu'il est possible d'afficher sur le bureau de l'utilisateur. Le contenu HTML dans le gadget est téléchargé depuis un site distant sous forme d'un ensemble de scripts, ensuite exécutés localement.
Les vulnérabilités mentionnées concernent les gadgets suivants :
- gadget Météo ;
- gadget Contacts ;
- gadget Titres.
Il est possible, par le biais d'un flux RSS malveillant ou compromis, d'exécuter du code arbitraire à distance sur le système vulnérable.
Solution
Se référer au bulletin de sécurité MS07-048 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-048 du 14 août 2007 http://www.microsoft.com/technet/security/Bulletin/MS07-048.mspx
- Référence CVE CVE-2007-3032 https://www.cve.org/CVERecord?id=CVE-2007-3032
- Référence CVE CVE-2007-3033 https://www.cve.org/CVERecord?id=CVE-2007-3033
- Référence CVE CVE-2007-3891 https://www.cve.org/CVERecord?id=CVE-2007-3891
