Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- DirectX 10.0 sur Windows Vista ;
- DirectX 10.0 sur Windows Vista Édition x64.
- DirectX 7.0 sur Microsoft Windows 2000 Service Pack 4 ;
- DirectX 8.1 sur Microsoft Windows 2000 Service Pack 4 ;
- DirectX 9.0c sur Microsoft Windows 2000 Service Pack 4 ;
- DirectX 9.0c sur Microsoft Windows XP Service Pack 2 ;
- DirectX 9.0c sur Windows Server 2003 avec SP1 pour les systèmes Itanium et Windows Server 2003 avec SP2 pour les systèmes Itanium ;
- DirectX 9.0c sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 ;
- DirectX 9.0c sur Windows Server 2003 Édition x64 et Windows Server 2003 Édition x64 Service Pack 2 ;
- DirectX 9.0c sur Windows XP Professionnel Édition x64 et Windows XP Professionnel Édition x64 Service Pack 2 ;
Résumé
Deux vulnérabilités concernant DirectX permettent à une personne malintentionnée d'exécuter du code arbitraire à distance.
Description
Deux vulnérabilités ont été identifiées dans Microsoft DirectX :
- la première faille concerne le traitement de fichiers SAMI (Synchronized Accessible Media Interchange) et permet l'exécution de code arbitraire à distance si un utilisateur ouvre un fichier spécialement construit ;
- la deuxième vulnérabilité est une erreur dans le traitement de fichiers WAV et AVI. Une personne malintentionnée pourrait ainsi exécuter du code arbitraire à distance en incitant un utilisateur à visiter un site web ou à ouvrir un courrier électronique spécialement conçu.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-064 du 11 décembre 2007 http://www.microsoft.com/technet/security/Bulletin/MS07-064.mspx
- Référence CVE CVE-2007-3895 https://www.cve.org/CVERecord?id=CVE-2007-3895
- Référence CVE CVE-2007-3901 https://www.cve.org/CVERecord?id=CVE-2007-3901
