Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows 2000 service pack 4 ;
- Windows Server 2003 service pack 1, 2003 x64 Edition et 2003 service pack 1 pour Itanium.
- Windows XP service pack 2 et XP professionnal x64 Edition ;
Résumé
Une vulnérabilité dans Microsoft Jet Database Engine permet à un utilisateur malintentionné d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire affecte Microsoft Jet Database Engine. Son exploitation permet à une personne malintentionnée d'exécuter du code arbitraire à distance avec les droits de l'utilisateur.
La vulnérabilité peut être exploitée par le biais d'un fichier au format Word (.doc) qui appelle un fichier de base de données (.mdb) spécifiquement construit.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-028 du 13 mai 2008 : http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx
- Bulletin de sécurité Microsoft MS08-028 du 13 mai 2008 : http://www.microsoft.com/france/technet/security/Bulletin/MS08-028.mspx
- Document du CERTA CERTA-2008-ALE-005 du 26 mars 2008 : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ALE-005/index.html
- Référence CVE CVE-2007-6026 https://www.cve.org/CVERecord?id=CVE-2007-6026
