Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Office 2004 pour Mac ;
- Microsoft Visual Basic 6.0 Service Pack 6.
- Windows 2000 Service Pack 4 ;
- Windows Server 2003 Edition x64 ;
- Windows Server 2003 Edition x64 Service Pack 2 ;
- Windows Server 2003 pour les systèmes Itanium (SP1 et SP2) ;
- Windows Server 2003 Service Pack 1 ;
- Windows Server 2003 Service Pack 2 ;
- Windows Vista ;
- Windows Vista Edition x64 ;
- Windows XP Professionnel Edition x64 ;
- Windows XP Professionnel Edition x64 Service Pack 2 ;
- Windows XP Service Pack 2 ;
Résumé
Une vulnérabilité a été identifiée dans OLE Automation de Microsoft. Celle-ci pourrait être exploitée par une personne malveillante distante via une page Web spécialement construite, pour exécuter des commandes sur le poste vulnérable, avec les droits de l'utilisateur.
Description
Une vulnérabilité a été identifiée dans OLE Automation de Microsoft. Il s'agit d'un protocole de Windows utilisé par une application pour échanger des données ou contrôler une autre application. Des requêtes particulières lors de l'utilisation du service pourraient provoquer une corruption de la mémoire.
Cette vulnérabilité pourrait être exploitée par une personne malveillante distante via une page Web spécialement construite, pour exécuter des commandes sur le poste vulnérable, avec les droits de l'utilisateur.
Solution
Se référer au bulletin de sécurité MS08-008 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-008 du 12 février 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-008.mspx
- Référence CVE CVE-2007-0065 https://www.cve.org/CVERecord?id=CVE-2007-0065
