Vulnérabilité dans le contrôle ActiveX Microsoft Video

Gestion du document

Référence	CERTA-2009-AVI-278
Titre	Vulnérabilité dans le contrôle ActiveX Microsoft Video
Date de la première version	15 juillet 2009
Date de la dernière version	15 juillet 2009
Source(s)	Bulletin de sécurité MS09-032 du 14 juillet 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Microsoft Windows Server 2003 ;
Microsoft Windows XP.

Résumé

Une vulnérabilité dans le contrôle ActiveX Microsoft Video permet à une personne distante malintentionnée d'exécuter du code arbitraire à distance.

Description

Une erreur dans le contrôle ActiveX Microsoft video (msvidctl.dll) en charge de la gestion du flux vidéo permet à une personne distante malintentionnée d'exécuter du code arbitraire via une page web spécialement construite. Ce correctif désactive automatiquement le contrôle ActiveX dans la base de registre, comme il était recommandé dans l'alerte CERTA-2009-ALE-010 (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin d'alerte du CERTA CERTA-2009-ALE-010 du 07 juillet 2009:
```
http://www.certa.ssi.gouv.fr/site/CERTA-2009-ALE-010/index.html
```

Bulletin de sécurité Microsoft MS09-032 du 14 juillet 2009 :

http://www.microsoft.com/france/technet/security/Bulletin/MS09-032.mspx

http://www.microsoft.com/technet/security/Bulletin/MS09-032.mspx

Référence CVE CVE-2008-0015 :

https://www.cve.org/CVERecord?id=CVE-2008-0015

Avis du CERT-FR

Objet: Vulnérabilité dans le contrôle ActiveX Microsoft Video