Risque

  • Exécution de code arbitraire ;
  • Déni de service.

Systèmes affectés

Microsoft Visual Studio 6.0 Entreprise Edition.

Résumé

Une vulnérabilité de Microsoft Visual Studio 6 permet à un utilisateur mal intentionné d'exécuter à distance du code arbitraire ou d'entraîner un déni de service.

Description

Un débogueur d'objets (vbsdicli.exe) est mis en place par défaut lors de l'installation de Visual Studio 6. Il est exploitable depuis une machine distante. Un débordement de mémoire tampon permet à un utilisateur distant d'exécuter du code arbitraire sur la machine cible ou entraîner un déni de service en bloquant cette machine.

Contournement provisoire

Bloquer les ports (TCP et UDP) 137 à 139 et 445 sur le garde barrière afin d'éviter toute attaque provenant de l'extérieur du réseau.

Solution

Télécharger le correctif sur le site Microsoft :

http://msdn.microsoft.com/vstudio/downloads/debugging/default.asp

Documentation

Bulletin Microsoft :

http://www.microsoft.com/technet/security/bulletin/MS01-018