Vulnérabilité dans la gestion des polices TrueType sur Windows

Gestion du document

Référence	CERTA-2011-AVI-684
Titre	Vulnérabilité dans la gestion des polices TrueType sur Windows
Date de la première version	14 décembre 2011
Date de la dernière version	14 décembre 2011
Source(s)	Bulletin de sécurité Microsoft MS11-087 du 13 décembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance ;
élévation de privilèges.

Systèmes affectés

Toutes les versions supportées de Microsoft Windows.

Résumé

Une vulnérabilité dans la gestion des polices TrueType de Windows permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité présente dans le noyau de Windows permet d'exécuter du code arbitraire à distance et d'élever ses privilèges au niveau système. Elle est déclenchée lors de l'ouverture par l'utilisateur d'un document contenant une police de caractères TrueType spécialement conçue.

Cette vulnérabilité a été détaillée dans l'alerte du CERTA CERTA-2011-ALE-006.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Microsoft MS11-087 du 13 décembre 2011 :

http://technet.microsoft.com/fr-fr/security/bulletin/MS11-087

http://technet.microsoft.com/en-us/security/bulletin/MS11-087

Alerte du CERTA CERTA-2011-ALE-006 du 04 novembre 2011 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-006
```

Avis de sécurité Microsoft 2639658 du 03 novembre 2011 :

http://technet.microsoft.com/fr-fr/security/advisory/2639658

http://technet.microsoft.com/en-us/security/advisory/2639658

Référence CVE CVE-2011-3402 :

https://www.cve.org/CVERecord?id=CVE-2011-3402

Avis du CERT-FR

Objet: Vulnérabilité dans la gestion des polices TrueType sur Windows