Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Microsoft Jet 4.0 Database Engine sur les systèmes d'exploitation suivants :- Windows 2000 service pack 4 ;
- Windows XP service pack 2 et XP professionnal x64 Edition ;
- Windows Server 2003 service pack 1, 2003 x64 Edition et 2003 service pack 1 pour Itanium.
Résumé
Une vulnérabilité dans Microsoft Jet Database Engine permet à un utilisateur malintentionné d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité de type débordement de mémoire affecte Microsoft Jet Database Engine. Son exploitation permet à une personne malintentionnée d'exécuter du code arbitraire à distance avec les droits de l'utilisateur.
La vulnérabilité peut être exploitée par le biais d'un fichier au format Word (.doc) qui appelle un fichier de base de données (.mdb) spécifiquement construit.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Document du CERTA CERTA-2008-ALE-005 du 26 mars 2008 :
http://www.certa.ssi.gouv.fr/site/CERTA-2008-ALE-005/index.html
- Bulletin de sécurité Microsoft MS08-028 du 13 mai 2008 :
http://www.microsoft.com/france/technet/security/Bulletin/MS08-028.mspx
http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx
- Référence CVE CVE-2007-6026 :
https://www.cve.org/CVERecord?id=CVE-2007-6026