{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Tous les syst\u00e8mes Microsoft poss\u00e9dant une version de la  Machine Virtuelle (VM) inf\u00e9rieure \u00e0 5.0.3805 incluse.</P>  <P>Pour connaitre la version de la Machine Virtuelle de vos  syst\u00e8mes, consultez le document additionnel r\u00e9f\u00e9renc\u00e9 dans le  bulletin de s\u00e9curit\u00e9 MS02-069 de Microsoft :</P>  <PRE><A name=\"tex2html2\" href=\"http://www.microsoft.com/security/security_bulletins/ms02-069.asp\"\nid=\"tex2html2\">http://www.microsoft.com/security/security_bulletins/ms02-069.asp</A>\n</PRE>","content":"## Description\n\nLa Machine Virtuelle de Microsoft a pour objet d'ex\u00e9cuter des programmes\nJava.\n\nDe multiples vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans la Machine Virtuelle de\nMicrosoft pour les versions 5.0.3805 et ant\u00e9rieures :\n\n-   Le standard COM (Composant Object Model) permet de g\u00e9rer la\n    modularit\u00e9 de certaines applications sous Windows.\n\n    Seules les appliquettes Java \u00ab de confiance \u00bb (ou reconnues comme\n    s\u00fbres) peuvent acc\u00e9der aux objets COM\n\n    L'une des vuln\u00e9rabilit\u00e9s de la Machine Virtuelle permet aux\n    appliquettes Java \u00ab non reconnues comme s\u00fbres \u00bb d'acc\u00e9der aux objets\n    COM.\n\n-   Une appliquette Java ne peut normalement acc\u00e9der qu'au r\u00e9pertoire\n    dans lequel elle se situe ou aux sous-r\u00e9pertoires de ce dernier. Il\n    est possible de construire (par deux moyens diff\u00e9rents) une\n    appliquette Java qui \u00ab tromperait \u00bb la Machine Virtuelle sur son\n    emplacement lorsqu'elle est ex\u00e9cut\u00e9e, et pourrait acc\u00e9der \u00e0 des\n    objets situ\u00e9s dans des r\u00e9pertoires distants.\n\n-   Il est aussi possible de construire une URL qui, lors de son\n    traitement, permet l'ex\u00e9cution d'une appliquette Java dans un autre\n    domaine que celui depuis lequel elle est lanc\u00e9e. Ceci peut notamment\n    \u00eatre utilis\u00e9 pour ex\u00e9cuter une application Java dans un contexte de\n    s\u00e9curit\u00e9 diff\u00e9rent de celui pour lequel elle est autoris\u00e9e.\n\n-   Les API (Application Programming Interface) JDBC (Java DataBase\n    Connectivity) sont des applications permettant d'acc\u00e9der \u00e0 des bases\n    de donn\u00e9es (ajout, modification, destruction) par le biais de\n    programmes JAVA.\n\n    Une vuln\u00e9rabilit\u00e9 de la Machine Virtuelle permet \u00e0 une appliquette\n    Java d'acc\u00e9der aux applications JDBC.\n\n-   Le SSM (Security Standard Manager) est un outil permettant\n    d'appliquer des restrictions sur l'acc\u00e8s de certains objets Java.\n\n    Une vuln\u00e9rabilit\u00e9 de la Machine Virtuelle permet d'emp\u00eacher\n    temporairement l'ex\u00e9cution de certains de ces objets en modifiant la\n    \u00ab banlist \u00bb (liste des objets bannis).\n\n-   Il est possible d'obtenir le nom de l'utilisateur connect\u00e9 sur un\n    syst\u00e8me gr\u00e2ce \u00e0 une appliquette Java \u00ab non reconnue comme s\u00fbre \u00bb qui\n    ne devrait normalement pas permettre d'acc\u00e9der \u00e0 une propri\u00e9t\u00e9 du\n    syst\u00e8me nomm\u00e9e user.dir.\n\n-   Une cr\u00e9ation non termin\u00e9e d'objet Java par une autre appliquette\n    Java habilement construite permet d'arr\u00eater de fa\u00e7on inopin\u00e9e le\n    navigateur Internet Explorer.\n\n## Contournement provisoire\n\nPour se pr\u00e9munir contre la majeure partie de ces attaques via le\nnavigateur Internet Explorer, d\u00e9sactiver les appliquettes Java dans les\nparam\u00e8tres de s\u00e9curit\u00e9 de tous les contextes de s\u00e9curit\u00e9 d'Internet\nEplorer.\n\n## Solution\n\nConsulter le bulletin de s\u00e9curit\u00e9 MS02-069 (se r\u00e9f\u00e9rer au paragraphe\ndocumentation) afin de conna\u00eetre la disponibilit\u00e9 des correctifs.\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-265","revisions":[{"description":"version initiale.","revision_date":"2002-12-13T00:00:00.000000"}],"risks":[{"description":"Modification de donn\u00e9es non autoris\u00e9e"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"D\u00e9ni de service"},{"description":"Fuite de donn\u00e9es"},{"description":"Contournement des r\u00e8gles de s\u00e9curit\u00e9"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans la Machine Virtuelle de\nMicrosoft permettent \u00e0 un utilisateur mal intentionn\u00e9 d'ex\u00e9cuter du code\narbitraire \u00e0 distance, de contourner les m\u00e9canismes de s\u00e9curit\u00e9 et\nd'obtenir des informations sur l'utilisateur, ce qui pourrait faciliter\nles attaques par force brute.\n","title":"Multiples vuln\u00e9rabilit\u00e9s de la Machine Virtuelle de Microsoft","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 MS02-069 de Microsoft","url":"http://www.microsoft.com/technet/security/bulletin/MS02-069.asp"}]}