S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 février 2007
N° CERTA-2007-AVI-085
Affaire suivie par: CERT-FR
le 14 février 2007

Avis du CERT-FR

Objet: Vulnérabilités dans des composants ActiveX de Microsoft Windows

Gestion du document

Référence CERTA-2007-AVI-085
Titre Vulnérabilités dans des composants ActiveX de Microsoft Windows
Date de la première version 14 février 2007
Date de la dernière version 14 février 2007
Source(s) Bulletins de sécurités Microsoft MS07-008 et MS07-009 du 13 février 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Microsoft Windows 2000 Service Pack 4 ;
  • Microsoft Windows XP Service Pack 2 ;
  • Microsoft Windows Serveur 2003, versions x86 et Itanium.

Résumé

Une vulnérabilité, permettant l'exécution de code arbitraire à distance, existe dans 2 composants ActiveX, Microsoft Data Access Components et Microsoft HTML Help, de Microsoft Windows.

Description

Microsoft HTML Help (hhcrtl.ocx) est un composant ActiveX permettant l'affichage des fichiers d'aide au format HTML. Une personne malveillante peut exploiter la vulnérabilité présente dans ce composant ActiveX afin d'exécuter du code arbitraire à distance par le biais d'une page web au format HTML spécialement conçue.

Microsoft Data Access Components (MDAC) est un regroupement de technologies Microsoft facilitant l'accès aux données. Une vulnérabilité présente dans le contrôle ActiveX ADODB.Connection permet à une personne malveillante d'exécuter du code arbitraire à distance par le biais d'un appel spécialement conçu d'une méthode de ce contrôle ActiveX.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 février 2007
    version initiale.