S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 septembre 2006
N° CERTA-2006-AVI-389
Affaire suivie par: CERT-FR
le 13 septembre 2006

Avis du CERT-FR

Objet: Vulnérabilité dans Microsoft Publisher

Gestion du document

Référence CERTA-2006-AVI-389
Titre Vulnérabilité dans Microsoft Publisher
Date de la première version 13 septembre 2006
Date de la dernière version 13 septembre 2006
Source(s) Bulletin de sécurité Microsoft MS06-054 du 12 septembre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Office Publisher 2000 fourni dans la suite Microsoft Office 2000 Service Pack 3 ;
  • Office Publisher 2002 fourni dans la suite Microsoft Office XP Service Pack 3 ;
  • Office Publisher 2003 fourni dans la suite Microsoft Office 2003 Service Pack 1 et Service Pack 2.

Résumé

Une vulnérabilité a été identifiée dans certaines versions de l'application Microsoft Publisher. Une personne malveillante pourrait construire une fichier exploitant cette vulnérabilité, afin d'exécuter du code arbitraire sur le système où le document sera ouvert.

Description

Publisher est une application fournie par Microsoft servant à la publication de documents (logiciel PAO, pour publication assistée par ordinateur).

Une vulnérabilité a été identifiée dans ce dernier. Il ne contrôlerait pas de manière correcte certaines chaînes de caractères malformées dans des fichiers au format .pub.

Une personne malveillante pourrait construire une fichier exploitant cette vulnérabilité, afin d'exécuter du code arbitraire sur le système où le document sera ouvert.

Solution

Se référer au bulletin de sécurité MS06-054 de Microsoft pour l'application des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 septembre 2006
    version initiale.