Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Windows Vista ;
  • Microsoft Windows Vista Édition x64.

Résumé

Des vulnérabilités ont été identifiées dans les gadgets fournis avec Microsoft Windows Vista. L'exploitation de ces dernières permettrait d'exécuter du code arbitraire à distance sur le système vulnérable.

Description

Des vulnérabilités ont été identifiées dans les gadgets fournis avec Microsoft Windows Vista. Les gadgets sont des applications, ou codes. Ils peuvent se présenter sous forme de contenu HTML qu'il est possible d'afficher sur le bureau de l'utilisateur. Le contenu HTML dans le gadget est téléchargé depuis un site distant sous forme d'un ensemble de scripts, ensuite exécutés localement.

Les vulnérabilités mentionnées concernent les gadgets suivants :

  • gadget Météo ;
  • gadget Contacts ;
  • gadget Titres.

Il est possible, par le biais d'un flux RSS malveillant ou compromis, d'exécuter du code arbitraire à distance sur le système vulnérable.

Solution

Se référer au bulletin de sécurité MS07-048 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

Documentation