Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Visio 2002 Service Pack 2 et les versions antérieures ;
- Microsoft Visio 2003 Service Pack 3 et les versions antérieures ;
- Microsoft Visio 2007 Service Pack 1 et les versions antérieures.
Résumé
Plusieurs vulnérabilités affectant Microsoft Visio permettent à un individu malveillant d'exécuter du code arbitraire à distance.
Description
Plusieurs vulnérabilités sont présentes dans Microsoft Visio :
- la première (CVE-2009-0095) concerne la validation des objets d'un document Visio lors de son ouverture, un individu malveillant peut exécuter du code arbitraire à distance par le biais d'un fichier spécialement fabriqué ;
- la seconde (CVE-2009-0096 et CVE-2009-0097) concerne la gestion et le stockage des objets Visio dans la mémoire, un individu malveillant peut exécuter du code arbitraire à distance par le biais d'un fichier spécialement fabriqué.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS09-005 du 10 février 2009 http://www.microsoft.com/technet/security/Bulletin/MS09-005.mspx
- Référence CVE CVE-2009-0095 https://www.cve.org/CVERecord?id=CVE-2009-0095
- Référence CVE CVE-2009-0096 https://www.cve.org/CVERecord?id=CVE-2009-0096
- Référence CVE CVE-2009-0097 https://www.cve.org/CVERecord?id=CVE-2009-0097
