Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Windows 2003 Server (SP1 et SP2) pour systèmes Itanium ;
- Windows 2003 Server Service Pack 1 ;
- Windows 2003 Server Service Pack 2 ;
- Windows 2003 Server x64 Edition ;
- Windows 2003 Server x64 Edition Service Pack 2 ;
- Windows 2008 Server (pour systèmes 32-bit, x64 et Itanium).
- Windows Vista ;
- Windows Vista Service Pack 1 ;
- Windows Vista x64 Edition ;
- Windows Vista x64 Edition Service Pack 1 ;
- Windows XP Service Pack 2 ;
- Windows XP Service Pack 3 ;
- Windows XP x64 Edition ;
- Windows XP x64 Edition Service Pack 2 ;
Résumé
Une vulnérabilité a été identifiée dans la mise en œuvre de l'interface de reconnaissance vocale Windows. Elle avait fait l'objet d'un article dans le bulletin d'actualité CERTA-2007-ACT-005. Il s'agit ici d'une mise à jour cumulative.
Description
Une vulnérabilité a été identifiée dans la mise en œuvre de l'interface de reconnaissance vocale Windows. Elle avait fait l'objet d'un article dans le bulletin d'actualité CERTA-2007-ACT-005.
Il s'agit ici d'une mise à jour cumulative qui consiste à activer le kill bit de certains contrôles ActiveX liés à la reconnaissance vocale sous Windows (en particulier sapi.dll).
Le service de reconnaissance vocale n'est pas activé par défaut.
Solution
Se référer au bulletin de sécurité MS08-032 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-032 du 10 juin 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-032.mspx
- Bulletin d'actualité CERTA-2007-ACT-005 du 02 février 2007, « La reconnaissance vocale sous Windows Vista » : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-005.pdf
- Référence CVE CVE-2007-0675 https://www.cve.org/CVERecord?id=CVE-2007-0675
