Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Microsoft Windows NT Workstation 4.0 Service Pack 6a ;
- Microsoft Windows NT Server 4.0 Service Pack 6a ;
- Microsoft Windows NT Terminal Server Edition 4.0 Service Pack 6a ;
- Microsoft Windows 2000 Service Pack 2, Service Pack 3 et Service Pack 4 ;
- Microsoft Windows XP et XP Service Pack 1 ;
- Microsoft Windows XP 64-Bit Edition Service Pack 1 ;
- Microsoft Windows XP 64-Bit Edition Version 2003 ;
- Microsoft Windows Server 2003 ;
- Microsoft Windows Server 2003 64-Bit Edition ;
- Microsoft Windows 98 et 98 SE ;
- Microsoft Windows Millennium Edition ;
- Internet Explorer 6.0 Service Pack 1 installé sur Windows NT 4.0 SP6a.
Résumé
Une vulnérabilité présente dans l'interpréteur de commandes de Microsoft Windows permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire à distance.
Description
Un concepteur de site mal intentionné peut, en attirant un utilisateur sur une page judicieusement composée, exploiter une vulnérabilité présente dans l'interpréteur de commandes lors du lancement d'une application. Cette vulnérabilité entraîne l'exécution de code arbitraire avec les privilèges de l'utilisateur.
Solution
Se référer au bulletin de sécurité Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS04-024 du 13 juillet 2004 :
http://www.microsoft.com/technet/security/bulletin/ms04-024.mspx
- Référence CVE CAN-2004-0420 :
https://www.cve.org/CVERecord?id=CAN-2004-0420
