Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Visio 2002 Service Pack 2 dans Microsoft Office XP Service Pack 2 ;
- Visio 2003 Service Pack 2 dans Microsoft Office 2003 Service Pack 2 ;
- Visio 2003 Service Pack 3 dans Microsoft Office 2003 Service Pack 3 ;
- Visio 2007 dans Microsoft Office System 2007 ;
- Visio 2007 Service Pack 1 dans Microsoft Office System 2007 Service Pack 1 .
Les visualiseurs (viewer) Visio ne seraient pas affectés.
Résumé
Deux vulnérabilités ont été identifiées dans l'application bureautique Microsoft Visio. L'exploitation de ces vulnérabilités par le biais d'un fichier spécialement construit permettrait d'exécuter du code arbitraire sur le système vulnérable.
Description
Deux vulnérabilités ont été identifiées dans l'application bureautique Microsoft Visio destinée à la création de diagrammes et de synoptiques.
- l'application ne validerait pas correctement les données d'en-tête des objets dans les fichiers ;
- l'application ne validerait pas correctement les allocations de mémoire lors du chargement des fichiers au format .DFX. Il s'agit du format de fichiers de dessin AutoCAD qui n'est pas associé à Microsoft Viso par défaut.
L'exploitation de ces vulnérabilités peut se faire par le biais d'un fichier spécialement construit. Si celui-ci est ouvert sur un système vulnérable, il pourrait alors provoquer l'exécution de commandes arbitraires.
Solution
Se référer au bulletin de sécurité MS08-019 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-019 du 08 avril 2008 :
http://www.microsoft.com/france/technet/security/Bulletin/MS08-019.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-019.mspx
- Référence CVE CVE-2008-1089 :
https://www.cve.org/CVERecord?id=CVE-2008-1089
- Référence CVE CVE-2008-1090 :
https://www.cve.org/CVERecord?id=CVE-2008-1090
