Objet: Vulnérabilité dans Microsoft OLE Automation

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

• Windows 2000 Service Pack 4 ;
• Windows XP Service Pack 2 ;
• Windows XP Professionnel Edition x64 ;
• Windows XP Professionnel Edition x64 Service Pack 2 ;
• Windows Server 2003 Service Pack 1 ;
• Windows Server 2003 Service Pack 2 ;
• Windows Server 2003 Edition x64 ;
• Windows Server 2003 Edition x64 Service Pack 2 ;
• Windows Server 2003 pour les systèmes Itanium (SP1 et SP2) ;
• Windows Vista ;
• Windows Vista Edition x64 ;
• Microsoft Office 2004 pour Mac ;
• Microsoft Visual Basic 6.0 Service Pack 6.

Résumé

Une vulnérabilité a été identifiée dans OLE Automation de Microsoft. Celle-ci pourrait être exploitée par une personne malveillante distante via une page Web spécialement construite, pour exécuter des commandes sur le poste vulnérable, avec les droits de l'utilisateur.

Description

Une vulnérabilité a été identifiée dans OLE Automation de Microsoft. Il s'agit d'un protocole de Windows utilisé par une application pour échanger des données ou contrôler une autre application. Des requêtes particulières lors de l'utilisation du service pourraient provoquer une corruption de la mémoire.

Cette vulnérabilité pourrait être exploitée par une personne malveillante distante via une page Web spécialement construite, pour exécuter des commandes sur le poste vulnérable, avec les droits de l'utilisateur.

Solution

Se référer au bulletin de sécurité MS08-008 de Microsoft pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Microsoft MS08-008 du 12 février 2008 :

  http://www.microsoft.com/france/technet/security/Bulletin/MS08-008.mspx
  

  http://www.microsoft.com/technet/security/Bulletin/MS08-008.mspx
  

• Référence CVE CVE-2007-0065 :

  https://www.cve.org/CVERecord?id=CVE-2007-0065