Multiples vulnérabilités des produits Microsoft utilisant GDI+

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Microsoft .NET Framework 2.x ;
Microsoft Expression Web 1.x ;
Microsoft Expression Web 2.x ;
Microsoft Forefront Client Security 1.x ;
Microsoft Internet Explorer 6.x ;
Microsoft Office 2003 Professional Edition ;
Microsoft Office 2003 Small Business Edition ;
Microsoft Office 2003 Standard Edition ;
Microsoft Office 2003 Student and Teacher Edition ;
Microsoft Office 2007 ;
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats ;
Microsoft Office Excel Viewer 2003 ;
Microsoft Office Groove 2007 ;
Microsoft Office PowerPoint Viewer 2007 ;
Microsoft Office Project 2002 ;
Microsoft Office Word Viewer ;
Microsoft Office XP ;
Microsoft Platform SDK Redistributable: GDI+ ;
Microsoft Report Viewer 2005 ;
Microsoft Report Viewer 2008 ;
Microsoft SQL Server 2005 ;
Microsoft SQL Server 2005 Compact Edition 3.x ;
Microsoft SQL Server 2005 Express Edition ;
Microsoft Visio 2002 ;
Microsoft Visual FoxPro 8.x ;
Microsoft Visual FoxPro 9.x ;
Microsoft Visual Studio .NET 2003 ;
Microsoft Visual Studio 2005 ;
Microsoft Visual Studio 2008 ;
Microsoft Windows Server 2003 Datacenter Edition ;
Microsoft Windows Server 2003 Enterprise Edition ;
Microsoft Windows Server 2003 Standard Edition ;
Microsoft Windows Server 2003 Web Edition ;
Microsoft Windows Server 2008 ;
Microsoft Windows Storage Server 2003 ;
Microsoft Windows Vista ;
Microsoft Windows XP Home Edition ;
Microsoft Windows XP Professional ;
Microsoft Word Viewer 2003 ;
Microsoft Works 8.x ;
SQL Server 2000 Reporting Services.

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Microsoft utilisant GDI+. L'exploitation de ces vulnérabilités permet d'exécuter du code arbitraire à distance.

Description

Huit vulnérabilités ont été découvertes dans les produits Microsoft utilisant GDI+. L'exploitation de ces vulnérabilités est possible en raison de plusieurs erreurs (dépassements d'entier, erreurs aux limites, etc.) et permettent l'exécution de code arbitraire via des fichiers spécialement construits.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Microsoft MS09-062 du 13 octobre 2009

http://www.microsoft.com/technet/security/Bulletin/MS09-062.mspx

Référence CVE CVE-2009-2500

https://www.cve.org/CVERecord?id=CVE-2009-2500

Référence CVE CVE-2009-2501

https://www.cve.org/CVERecord?id=CVE-2009-2501

Référence CVE CVE-2009-2502

https://www.cve.org/CVERecord?id=CVE-2009-2502

Référence CVE CVE-2009-2503

https://www.cve.org/CVERecord?id=CVE-2009-2503

Référence CVE CVE-2009-2504

https://www.cve.org/CVERecord?id=CVE-2009-2504

Référence CVE CVE-2009-2518

https://www.cve.org/CVERecord?id=CVE-2009-2518

Référence CVE CVE-2009-2528

https://www.cve.org/CVERecord?id=CVE-2009-2528

Référence CVE CVE-2009-3126

https://www.cve.org/CVERecord?id=CVE-2009-3126

Référence	CERTA-2009-AVI-442
Titre	Multiples vulnérabilités des produits Microsoft utilisant GDI+
Date de la première version	14 octobre 2009
Date de la dernière version	14 octobre 2009
Source(s)	Bulletin de sécurité Microsoft MS09-062 du 13 octobre 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités des produits Microsoft utilisant GDI+