S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 novembre 2006
N° CERTA-2006-AVI-500
Affaire suivie par: CERT-FR
le 15 novembre 2006

Avis du CERT-FR

Objet: Vulnérabilité de Microsoft XML Core Services

Gestion du document

Référence CERTA-2006-AVI-500
Titre Vulnérabilité de Microsoft XML Core Services
Date de la première version 15 novembre 2006
Date de la dernière version 15 novembre 2006
Source(s) Bulletin de sécurité Microsoft MS06-071 du 14 novembre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • Microsoft XML Core Services 4.0 (pour toutes les versions de Windows) ;
  • Microsoft XML Core Services 6.0 (pour toutes les versions de Windows).

Résumé

Une vulnérabilité a été identifiée dans Microsoft XML Core Services (MSXML). Il s'agit plus précisément du contrôle ActiveX XMLHTTP.

Une personne malveillante pourrait exploiter cette vulnérabilité, afin de prendre le contrôle, à distance ou localement, de la machine fonctionnant sur un système vulnérable. Un scénario d'attaque possible serait une page Web construite de manière particulière : la visite de cette dernière par un navigateur autorisant les contrôles ActiveX, permettrait l'exécution de code sur le système.

Même si MSXML n'est pas distribué par défaut avec Windows, il est installé avec plusieurs logiciels.

Description

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 novembre 2006
    version initiale.