Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Visual Studio, toutes les éditions ;
- Microsoft Visual C++ Redistributable Package, toutes les éditions.
Des applications construites à partir de ces produits sont vulnérables.
Résumé
Une vulnérabilité dans le chargement des bibliothèques dynamiques par la bibliothèque MFC permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.
Description
La manière dont la MFC gère le chargement des bibliothèques dynamiques est exploitable par un utilisateur malveillant pour exécuter du code arbitraire à distance. Cette vulnérabilité est décrite dans le bulletin d'actualité CERTA-2010-ACT-034 (cf. section Documentation).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS11-025 du 12 avril 2011 http://www.microsoft.com/technet/security/Bulletin/MS11-025.mspx
- Document du CERTA CERTA-2010-ACT-034 du 26 août 2010 : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-034/index.html
- Référence CVE CVE-2010-3190 https://www.cve.org/CVERecord?id=CVE-2010-3190
