Risque
- Déni de service ;
- exécution de code arbitraire.
Systèmes affectés
- Microsoft Windows 2000 SP3 et SP4 ;
- Microsoft Windows XP SP1 et SP2 ;
- Microsoft Windows XP édition 64-Bits SP1 (itanium) ;
- Microsoft Windows XP édition 64-Bits version 2003 (itanium) ;
- Microsoft Windows XP Professional édition 64 bits ;
- Microsoft Windows Server 2003 ;
- Microsoft Windows Server 2003 SP1 ;
- Microsoft Windows Server 2003 (itanium) ;
- Microsoft Windows Server 2003 SP1 (itanium) ;
- Microsoft Windows 98 ;
- Microsoft Windows 98 seconde édition ;
- Microsoft Windows Millenium édition (ME).
Résumé
Une vulnérabilité présente dans le HTML Help de Windows peut être exploitée par un utilisateur mal intentionné pour réaliser un déni de service ou exécuter du code arbitraire sur le système vulnérable.
Description
Une vulnérabilité est présente dans le HTML Help de Windows. Cette vulnérabilité peut être exploitée via une page au format HTML malicieusement construite permettant à un utilisateur mal intentionné d'exécuter du code sur la machine avec les privilèges de l'utilisateur ayant ouvert la session.
Contournement provisoire
Dans l'attente d'appliquer le correctif il est possible de désactiver le protocole HTML Help InfoTech (cf. bulletin de sécurité de l'éditeur, section documentation)
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS05-026 :
http://www.microsoft.com/france/technet/securite/ms05-026.mspx
- Référence CVE CAN-2005-1208 :
https://www.cve.org/CVERecord?id=CAN-2005-1208
