Vulnérabilité dans le composant de nettoyage HTML de Microsoft

Gestion du document

Référence	CERTA-2012-AVI-556
Titre	Vulnérabilité dans le composant de nettoyage HTML de Microsoft
Date de la première version	10 octobre 2012
Date de la dernière version	10 octobre 2012
Source(s)	Bulletin de sécurité Microsoft MS12-066 du 09 octobre 2012

Risques

Atteinte à la confidentialité des données
Élévation de privilèges

Systèmes affectés

Microsoft Communicator 2007 R2
Microsoft InfoPath 2007 Service Pack 2
Microsoft InfoPath 2007 Service Pack 3
Microsoft InfoPath 2010 Service Pack 1 éditions 32 bits
Microsoft InfoPath 2010 Service Pack 1 éditions 64 bits
Microsoft Lync 2010 (32 bits)
Microsoft Lync 2010 (64 bits)
Microsoft Lync 2010 Attendee
Microsoft SharePoint Server 2007 Service Pack 2 éditions 32 bits
Microsoft SharePoint Server 2007 Service Pack 2 éditions 64 bits
Microsoft SharePoint Server 2007 Service Pack 3 éditions 32 bits
Microsoft SharePoint Server 2007 Service Pack 3 éditions 64 bits
Microsoft SharePoint Server 2010 Service Pack 1

Résumé

Une vulnérabilité a été corrigée dans le composant de nettoyage HTML de Microsoft. Elle permet à un attaquant une élévation de ses privilèges en envoyant du contenu spécialement conçu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Microsoft MS12-066 du 09 octobre 2012

http://technet.microsoft.com/en-us/security/bulletin/MS12-066

Référence CVE CVE-2012-2520

https://www.cve.org/CVERecord?id=CVE-2012-2520

Avis du CERT-FR