Risque
Exécution de code arbitraire.
Systèmes affectés
Windows Millenium Edition.
Résumé
Un utilisateur mal intentionné peut exécuter du code arbitraire au moyen d'un lien HTML astucieusement construit.
Description
Le centre d'aide et de support (Help and Support Center) de Microsoft permet aux utilisateurs d'obtenir de l'aide en ligne en suivant des liens commençant par hcp://
au lieu de l'habituel http://
.
Une vulnérabilité de type débordement de mémoire du protocole hcp sous Windows Millenium Edition permet à un utilisateur mal intentionné d'exécuter ou de lire des fichiers présents sur la machine de sa victime.
Le code arbitraire peut être exécuté si la victime clique sur une URL astucieusement construite placée sur un site web ou dans un message éléctronique.
Solution
Consulter le bulletin de sécurité MS03-006 de Microsoft (se référer au paragraphe Documentation) pour connaitre la disponibilité des correctifs.
Documentation
- Bulletin de sécurité MS03-006 de Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS03-006.asp
- Documentation aditionnelle au bulletin de sécurité MS03-006 Microsoft :
http://www.microsoft.com/technet/security/security_Bulletins/ms03-006.asp